Les problèmes de dépendance sont plus faciles à résoudre lorsqu'ils apparaissent directement dans le flux de travail de développement. Avec cette version, nous intégrons l'ensemble SCA dans l'extension Aikido , combinant l'analyse dans l'éditeur avec la possibilité d'appliquer des mises à niveau sécurisées via AutoFix. Les développeurs peuvent détecter les paquets vulnérables et les résoudre sans changer d'outil ni perdre leur concentration.
Notre objectif en matière de produits, d'ingénierie et de sécurité reste le même : réduire le délai entre l'identification d'un problème et la mise en œuvre d'une solution.
Pourquoi intégrer SCA l'IDE ?
Les discussions sur les produits et l'ingénierie ont permis de clarifier le raisonnement. Les développeurs doivent détecter plus tôt les problèmes de dépendance, les résoudre sans changer d'outil, réduire le bruit généré par les découvertes tardives dans l'intégration continue et maintenir le flux de travail aussi proche que possible du code. SCA toujours été en dehors du cycle de développement, souvent découvert après que le travail ait avancé. Son intégration dans l'IDE permet de traiter ces problèmes au bon moment et au bon endroit, et réduit le délai entre l'identification d'un package obsolète ou vulnérable et la prise de mesures, d'autant plus que les correctifs peuvent désormais être appliqués dans le même flux de travail grâce à AutoFix.
Fonctionnement
- Aikido vos manifestes de dépendances et vos fichiers de verrouillage afin de créer une liste précise des paquets et des versions.
- Les résultats comprennent les CVE connus, leur gravité, les versions concernées et les plages de mise à niveau sécurisées.
- Après avoir exécuté une SCA manuelle une fois, l'extension surveille votre espace de travail pour détecter les modifications apportées aux fichiers de verrouillage et actualise automatiquement les résultats.
Pour lancer une analyse :
- Ouvrez la Aikido dans VS Code.
- Aller à Dépendances open source
- Cliquez sur Démarrer l'analyse
- Sélectionnez un package pour afficher les détails, les avis et les instructions de correction.
- Chaque résultat indique la version minimale sécurisée ou les plages de versions qui résolvent le problème.
- Dans les écosystèmes pris en charge, AutoFix peut mettre à jour le manifeste ou appliquer la mise à jour de version sécurisée directement depuis l'IDE.
Cela permet de regrouper la détection et la correction en un seul endroit. L'analyse et la correction s'effectuent désormais dans l'éditeur plutôt que dans plusieurs outils différents.
Ce que cela débloque
Avec SCA dans l'IDE, les vérifications de dépendances deviennent :
- auparavant, avant CI
- plus rapide, sans avoir à passer d'un outil à l'autre
- plus clair, avec les problèmes et les conseils de résolution présentés côte à côte
- exploitable, avec AutoFix dans les écosystèmes VS Code pris en charge
Pour les équipes d'ingénieurs, cela réduit la dérive des dépendances et l'accumulation des corrections tardives. Pour les équipes de sécurité, les problèmes sont détectés et résolus avec moins de bruit et moins de transferts.
SCA les langues que vous utilisez
Nous effectuons SCA des dépendances pour les CVE connues et les licences open source à risque. L'analyse est basée sur les manifestes de dépendances et les fichiers de verrouillage, qui contribuent à rendre les builds reproductibles et à améliorer la détection des paquets vulnérables. Les fichiers de verrouillage sont analysés à la fois à la racine d'un projet et dans tous les sous-dossiers.
L'IDE utilise le même analyse des dépendances que le référentiel et les analyses CI Aikido. Cela inclut JavaScript et TypeScript, PHP, Java, Swift, Go, Python, .NET, Ruby, Rust, Kotlin, Dart, Elixir, C et C++, Scala, Clojure et Unity UPM.
Pour obtenir la liste complète des langues prises en charge et des fichiers de verrouillage analysés, consultez la documentation :
https://help.aikido.dev/code-scanning/scanning-practices/support-for-dependency-scanning-by-language
SCA travaillent les développeurs
L'intégration du SCA complet dans l'IDE s'inscrit dans le cadre d'une initiative plus large visant à mettre en évidence les vérifications essentielles là où les développeurs écrivent et livrent déjà leur code. L'objectif est de garantir la rapidité, la précision et la proximité des signaux de sécurité par rapport au travail. Cela inclut désormais l'analyse des dépendances et l'application de mises à niveau sécurisées avec AutoFix au même endroit. Nous continuerons à étendre la couverture de l'écosystème et à améliorer l'expérience dans l'éditeur. L'orientation est simple : maintenir la sécurité à proximité du travail et permettre aux équipes d'agir plus facilement sur ce qu'elles voient.
Essayez SCA dans votre IDE → sca
Sécurisez votre logiciel dès maintenant.
.avif)
