Blog
Notes sur la sécurité applicative, le code généré par IA, le risque supply-chain, et comment Stateward attrape ce que les scanners par diff manquent.
- ·16 min
Sécurité du vibe coding : que vérifier avant de livrer
Les agents de code IA livrent du code non sécurisé par défaut — et la revue senior, le filtre du tech lead et l'équipe sécurité qui les attrapaient ont disparu. Une checklist de sécurité condensée pour les vibe coders, bâtie à partir de 500+ vraies fuites de notre flux de menaces : les à faire, les à éviter, et les erreurs exactes à cesser de livrer.
vibe-codingai-codeappsecsecuritysecrets - ·21 min
Que vérifier pour sécuriser du code Solidity
Une méta-analyse de 78 exploits Web3 réels de notre flux de menaces, recoupée avec les guides de référence (SWC Registry, OWASP Smart Contract Top 10, ConsenSys, OpenZeppelin), distillée en une seule checklist de ce qu'il faut réellement vérifier, les hacks qui le prouvent, et là où l'argent fuit vraiment.
web3soliditysmart-contract-securitydefi - ·3 min
Pourquoi les scanners par diff ratent les vulnérabilités de fusion
Deux branches peuvent être sûres chacune de leur côté et créer malgré tout une vulnérabilité au moment où on les fusionne. Voici pourquoi les scanners par PR y sont aveugles, et comment Stateward raisonne plutôt sur l'état fusionné.
appseccode-reviewsupply-chain