Où dans mon workflow exposition de source maps est-il attrapé ?

En ligne dans la pull request, au commit — avec une sévérité, le CWE et un correctif proposé — pour qu’il n’atteigne jamais une branche partagée ou la production.

← Toutes les protections

CWE-540 · Divulgation du code source

Comment Stateward vous protège contre exposition de source maps

La menace

Une source map JavaScript (.map) livre votre code source original — commentaires, endpoints internes, logique, parfois des secrets — à quiconque peut la récupérer ou ouvrir un paquet publié. Le front-end de l’App Store d’Apple et Claude Code d’Anthropic ont tous deux exposé l’intégralité de leur code de cette façon.

Comment Stateward le détecte

Le détecteur de source maps de Stateward le signale dans la pull request, avant toute livraison : un artefact *.map commité, un //# sourceMappingURL= résiduel dans un bundle livré, et les configs de build qui émettent des maps de production sur Vite, webpack, Next.js, Create React App, Vue et Rollup. Il ignore les maps désactivées et les fichiers .d.ts.map, pour ne pas crier au loup.

Détecteur d’exposition de source mapsCWE-540CWE-200

C’est arrivé pour de vrai

Fuite de source map de Claude Code (Anthropic)Une règle .npmignore manquante a livré une source map d’environ 59,8 Mo — quelque 512 000 lignes de TypeScript non obfusqué réparties sur ~1 900 fichiers — dans un paquet npm publié. Un bug du bundler continuait d’émettre des maps même désactivé, et rien ne les supprimait avant la publication.Stateward aurait-il attrapé la fuite du code source de Claude Code ? →Fuite de source map de l’App Store d’AppleApple a livré une nouvelle version web de l’App Store avec les source maps encore activées en production. Un chercheur a téléchargé les fichiers .map et reconstitué tout le code source du front-end ; Apple a envoyé des avis DMCA et GitHub a supprimé des milliers de forks.Stateward aurait-il attrapé la fuite du code source de l’App Store d’Apple ? →

Alertes récentes de cette classe

Voir tout le flux →

Vérifiez votre dépôt

Connectez un dépôt et Stateward analyse votre prochaine pull request — en lecture seule, gratuit pour les particuliers et l’open source.

Vérifier mon dépôt Tout ce que nous détectons

Se protéger davantage

Bugs de logique & d’exactitude écrits par de vrais humains Secrets en dur & identifiants exposés Dépendances vulnérables & malveillantes Typosquatting & paquets « slopsquattés »Mauvaise configuration de l’infrastructure-as-code Images de conteneurs non sécurisées

Conçu pour mériter votre confiance

Lecture seule & éphémère

Stateward commente, sans jamais pousser, fusionner ou stocker vos clés.

Hébergement souverain UE

Code et données restent hébergés en UE via Citadea — pensé pour NIS2, DORA et le CRA.

Conscient de tout le code

Raisonne sur le graphe d’appels et les frontières de confiance, pas seulement le diff.

Stateward est en bêta et recrute des partenaires de conception. Conçu par Yggdrasil Digital.

Commencer gratuitement Réserver une démo