StatewardStateward
Exemple concret

Voyez ce que Stateward détecte

Pas de démo verrouillée. Voici deux découvertes identiques à celles que Stateward poste sur vos pull requests — une vulnérabilité de code et un risque de dépendance — annotées pour voir le raisonnement, pas seulement le verdict.

api/users.js
PR #418
41router.get('/user/:id', async (req, res) => {
42+ const q = `SELECT * FROM users WHERE id = $${req.params.id}`;
43 const rows = await db.query(q);
Stateward analyse
CritiqueCWE-89 · OWASP A03

Injection SQL via interpolation de chaîne

req.params.id non fiable est interpolé dans une requête. Un attaquant peut lire ou détruire la base.

Correctif proposé
const rows = await db.query('SELECT * FROM users WHERE id = $1', [req.params.id]);

Une vulnérabilité de code, détectée en ligne

  • Ce qui est signalé

    req.params.id non fiable interpolé directement dans une requête SQL — une injection classique. Stateward suit la valeur depuis le handler jusqu’au sink via le graphe d’appels, même si entrée et sink sont dans des fichiers différents.

  • Le correctif proposé

    Une requête paramétrée avec paramètre lié — applicable en un clic, pas un simple conseil. La découverte explique pourquoi l’original est exploitable, pas seulement qu’il l’est.

  • Mapping conformité

    Étiqueté CWE-89 et OWASP A03 (Injection) automatiquement, la découverte sert aussi de preuve d’audit pour SOC 2, NIS2 et DORA — sans étape de reporting séparée.

Une dépendance risquée, avant la mise en prod

Stateward vérifie chaque dépendance d’un changement contre les CVE connues, le typosquatting et le risque mainteneur — et indique si le code vulnérable est réellement atteignable, pour corriger l’essentiel sans crouler sous les alertes transitives.

Voir le flux de menaces →Découvrir la plateforme
package.json
PR #418
Revue Stateward7 contrôles · dédupliqués
1 Critique2 Élevé4 Résolus
ÉlevéCVE-2025-2841 · CVSS 8.1

Dépendance vulnérable : axios@1.4.0

Server-side request forgery dans follow-redirects embarqué. Corrigé en 1.7.4.

Correctif en un clic
- "axios": "1.4.0"
+ "axios": "1.7.4"

Conçu pour mériter votre confiance

Lecture seule & éphémère

Stateward commente, sans jamais pousser, fusionner ou stocker vos clés.

Hébergement souverain UE

Code et données restent hébergés en UE via Citadea — pensé pour NIS2, DORA et le CRA.

Conscient de tout le code

Raisonne sur le graphe d’appels et les frontières de confiance, pas seulement le diff.

Stateward est en bêta et recrute des partenaires de conception. Conçu par Yggdrasil Digital.

Commencer gratuitementRéserver une démo