Les problèmes de dépendance sont plus faciles à résoudre lorsqu'ils apparaissent directement dans le flux de travail de développement. Avec cette version, nous intégrons le workflow SCA complet dans l'extension IDE d'Aikido, en combinant l'analyse directement dans l'éditeur avec la possibilité d'appliquer des mises à niveau sécurisées via AutoFix. Les développeurs peuvent détecter les packages vulnérables et les résoudre sans changer d'outil ni perdre leur concentration.
Notre objectif, à travers le produit, l'ingénierie et la sécurité, reste le même : réduire le délai entre l'identification d'un problème et l'action sur celui-ci.
Pourquoi intégrer le SCA dans l'IDE
Des discussions sur le produit et l'ingénierie, la raison est claire. Les développeurs doivent identifier les problèmes de dépendance plus tôt, les résoudre sans changer d'outil, réduire le bruit généré par les découvertes tardives en CI, et maintenir le workflow aussi proche du code que possible. Le SCA a traditionnellement existé en dehors de la boucle de développement, souvent découvert après que le travail ait progressé. L'intégrer dans l'IDE place ces problèmes au bon endroit et au bon moment, et réduit l'écart entre l'identification d'un package obsolète ou vulnérable et la prise d'action, d'autant plus que les correctifs peuvent désormais être appliqués dans le même workflow via AutoFix.
Fonctionnement
- Aikido lit vos manifestes de dépendances et vos lockfiles pour construire une liste précise des packages et de leurs versions.
- Les résultats incluent les CVE connues, la gravité, les versions affectées et les plages de mise à niveau sécurisées.
- Après avoir exécuté une analyse SCA manuelle une première fois, l'extension surveille votre espace de travail pour les modifications de lockfile et actualise automatiquement les résultats.
Pour exécuter une analyse :
- Ouvrez la barre latérale Aikido dans VS Code
- Allez à Dépendances open source
- Cliquez sur Démarrer l'analyse
- Sélectionnez un package pour afficher les détails, les avis et les conseils de correction.
- Chaque résultat affiche la version sécurisée minimale ou les plages de versions qui résolvent le problème.
- Dans les écosystèmes pris en charge, AutoFix peut mettre à jour le manifeste ou appliquer la mise à jour de version sécurisée directement depuis l'IDE.
Cela maintient la détection et la remédiation au même endroit. L'analyse et la correction se déroulent désormais à l'intérieur de l'éditeur au lieu d'utiliser plusieurs outils.
Ce que cela permet
Avec le SCA disponible dans l'IDE, les vérifications de dépendances deviennent :
- plus tôt, avant la CI
- plus rapides, sans basculer vers des outils distincts
- plus claires, avec les problèmes et les conseils de correction côte à côte
- exploitables, avec AutoFix dans les écosystèmes VS Code pris en charge
Pour les équipes d'ingénierie, cela réduit la dérive des dépendances et le backlog des corrections tardives. Pour les équipes de sécurité, les problèmes sont découverts et résolus avec moins de bruit et moins de transferts.
SCA pour tous les langages que vous utilisez
Nous effectuons des analyses SCA des dépendances pour les CVEs connues et les licences open source à risque. L'analyse est basée sur les manifestes de dépendances et les lockfiles, ce qui contribue à rendre les builds reproductibles et à améliorer la détection des paquets vulnérables. Les lockfiles sont analysés à la fois à la racine d'un projet et dans tous les sous-dossiers.
L'IDE utilise le même support d'analyse des dépendances que les analyses de dépôt et CI d'Aikido. Cela inclut JavaScript et TypeScript, PHP, Java, Swift, Go, Python, .NET, Ruby, Rust, Kotlin, Dart, Elixir, C et C++, Scala, Clojure et Unity UPM.
Pour la liste complète des langages et lockfiles pris en charge, consultez la documentation :
https://help.aikido.dev/code-scanning/scanning-practices/support-for-dependency-scanning-by-language
SCA partout où les développeurs travaillent
Intégrer le flux de travail SCA complet dans l'IDE fait partie d'un effort plus large visant à faire apparaître les vérifications essentielles là où les développeurs écrivent et déploient déjà du code. L'objectif est de maintenir des signaux de sécurité rapides, précis et proches du travail. Cela inclut désormais l'analyse des dépendances et l'application de mises à niveau sûres avec AutoFix au même endroit. Nous continuerons d'étendre la couverture de l'écosystème et d'améliorer l'expérience dans l'éditeur. La direction est simple : maintenir la sécurité proche du travail et faciliter l'action des équipes sur ce qu'elles voient.
Essayez SCA gratuitement dans votre IDE → https://help.aikido.dev/ide-plugins/features/open-source-dependency-scanning-sca-in-ide
