Présentation des Aikido Expansion Packs : Des configurations par défaut plus sûres au sein de l'IDE

Les développeurs travaillent selon quelques boucles principales : l'écriture de code, la validation des modifications, l'installation des dépendances et, de plus en plus, en collaboration avec l'IA dans l'éditeur.

Les Aikido Expansion Packs sont conçus autour de ces moments.

Ils vous permettent d'ajouter des capacités de sécurité ciblées à Aikido qui s'exécutent localement, au sein de votre IDE, et s'intègrent naturellement aux méthodes de travail actuelles des développeurs. Chaque pack aborde une partie spécifique du workflow et ne nécessite pas de nouveaux outils, de nouvelles pipelines ou de nouveaux processus.

Vous activez les packs pertinents pour votre équipe et désactivez les autres. Tout s'exécute sur votre machine, et rien ne s'exécute si vous ne l'activez pas.

Comment utiliser

Les Expansion Packs sont gérés directement depuis l'extension Aikido de l'IDE. Ouvrez la barre latérale Aikido et accédez aux Expansion Packs pour activer ou désactiver les packs que vous souhaitez utiliser. La navigation exacte dépend de votre IDE, mais le flux sous-jacent est cohérent sur tous les éditeurs pris en charge. Les étapes spécifiques à l'IDE pour VS Code, IntelliJ et les autres IDE pris en charge sont détaillées dans la documentation → https://help.aikido.dev/ide-plugins/features/aikido-expansion-packs#how-to-use

Hook de pré-validation des secrets Aikido

Le hook Git de pré-commit Aikido Secrets vérifie le code mis en scène à la recherche de secrets, mots de passe et clés API avant la création d'un commit. Si une information sensible est détectée, le commit est bloqué localement, avant que quoi que ce soit n'atteigne votre dépôt.

Puisqu'il s'exécute au moment du commit, le feedback est immédiat et directement lié au code en cours de commit. Les développeurs peuvent autoriser des valeurs connues en ligne si nécessaire ou contourner temporairement le hook pour les cas limites. La désactivation du Secrets Pre-Commit Hook via les Expansion Packs désinstallera le hook globalement pour tous les dépôts sur la machine. Aucune configuration supplémentaire n'est requise.

En savoir plus sur Aikido Secrets Pre-Commit Hook

Aikido Safe Chain

Aikido Safe Chain protège votre environnement contre les packages malveillants au moment de l'installation.

Lorsque vous installez des packages, Safe Chain vérifie le package et ses dépendances imbriquées à la recherche de schémas malveillants connus et de comportements suspects. Cela inclut le code obfusqué, les scripts d'installation non sécurisés, les tentatives d'exfiltration de données et les mineurs de crypto-monnaie. Ces vérifications s'exécutent automatiquement pendant l'installation et ne nécessitent aucune modification de vos commandes ou de la configuration de votre projet.

Safe Chain ajoute une couche de sécurité autour des gestionnaires de packages courants tels que npm, npx, yarn, pnpm et pnpx.

Gestion des packages nouvellement publiés

Les versions de packages nouvellement publiées comportent un risque plus élevé. Pour réduire l'exposition aux versions non vérifiées, Safe Chain applique une fenêtre de sécurité de 24 heures.

Si une version de package a été publiée il y a moins de 24 heures, Safe Chain bloque cette version. Au lieu de faire échouer l'installation, il installe automatiquement la dernière version datant de plus de 24 heures. Cela garantit que les installations se poursuivent normalement et que les builds ne sont pas interrompues en raison de la vérification des malwares.

Documentation complète ici → https://help.aikido.dev/code-scanning/aikido-malware-scanning

Aikido MCP

Aikido MCP expose les vérifications de sécurité existantes d'Aikido aux workflows de codage assistés par l'IA.

Lorsqu'ils sont activés, les outils d'IA peuvent exécuter les vérifications SAST locales et de secrets d'Aikido sur le code au fur et à mesure qu'il est généré ou modifié, au lieu d'attendre une revue ou la CI. Cela permet de détecter plus tôt les vulnérabilités et les secrets codés en dur, pendant que le code est encore en cours d'écriture.

MCP propose trois vérifications :

• aikido_full_scan pour SAST et secrets combinés
• aikido_sast_scan pour SAST uniquement
• aikido_secrets_scan pour les secrets uniquement

Lors de l'utilisation d'Aikido via l'IDE, MCP est activé via les Expansion Packs. L'activation du bouton MCP installe et configure tout automatiquement pour cet IDE. Une case à cocher optionnelle gère également la règle Aikido MCP. La configuration manuelle n'est nécessaire que pour les cas d'utilisation avancés ou lors de l'exécution de MCP en dehors de l'IDE.

En savoir plus sur Aikido MCP

Étendre la sécurité sans augmenter la complexité

Les Expansion Packs ne sont pas destinés à remplacer les workflows de sécurité existants ni à ajouter une couche d'outils supplémentaire. Ils sont conçus pour placer les contrôles de sécurité aux points où le risque apparaît réellement, sans modifier la façon dont les développeurs travaillent.

Les équipes peuvent activer les packs qui correspondent à leur profil de risque aujourd'hui et ignorer le reste. Tout s'exécute localement, reste sous le contrôle des développeurs et s'intègre aux workflows existants plutôt que d'en créer de nouveaux.

Démarrer

Si vous utilisez déjà l'extension IDE Aikido, les Packs d'Extension sont désormais disponibles. Ouvrez votre IDE, activez les packs pertinents pour votre équipe et poursuivez votre développement. Vous pouvez activer ou désactiver les packs selon vos besoins, ce qui facilite un démarrage progressif et une extension de la couverture au fil du temps.

Démarrer avec les Packs d'Extension → https://help.aikido.dev/ide-plugins/features/aikido-expansion-packs

‍