CVE Lite CLI : un scanner open source pour traquer les dépendances à risque

Un projet open source soutenu par l’Open Worldwide Application Security Project (OWASP) propose une approche décalée de la sécurité des dépendances logicielles. Baptisé CVE Lite CLI, cet outil se présente comme un scanner de vulnérabilités pour les dépendances JavaScript et TypeScript, conçu pour être exécuté localement par les développeurs, bien en amont du pipeline d’intégration continue (CI).

L’idée centrale du projet est de fournir un retour d’information immédiat au moment où le développeur choisit ses dépendances, plutôt que de découvrir des problèmes de sécurité plusieurs heures plus tard, lorsque la chaîne CI échoue. « Ce qui manque aux développeurs, c’est un retour d’information précoce au moment où ils doivent prendre leurs décisions sur les dépendances », a expliqué Sonu Kapoor, créateur et responsable du projet. Selon lui, les workflows traditionnels centrés sur l’intégration continue coupent souvent les développeurs des choix de dépendances qui ont introduit le risque en premier lieu.

Fonctionnement et sources de données

CVE Lite CLI analyse les lockfiles des gestionnaires de paquets npm, pnpm et Yarn. Pour ce faire, il exploite la base de données OSV (Open Source Vulnerability) de Google, qui recense les vulnérabilités connues des logiciels open source. L’outil se distingue par son insistance sur les conseils de correction : il distingue explicitement les vulnérabilités directes des vulnérabilités transitives, valide les cibles de mise à niveau et recommande des pistes de correction concrètes.

Le projet est présenté comme un outil de développement « axé sur l’environnement local », et non comme un substitut aux plateformes d’analyse de la composition des logiciels (SCA) d’entreprise. Ses auteurs le comparent à des outils comme ESLint ou aux tests unitaires que les développeurs exécutent déjà localement avant que l’intégration continue ne les relance.

Un problème de workflow souvent négligé

Selon Sonu Kapoor, CVE Lite CLI tente de résoudre un problème de workflow avec lequel se débattent discrètement de nombreux développeurs. L’outil vise à combler le fossé entre la phase de codage et la phase de vérification de sécurité, en rendant la détection des dépendances à risque accessible dès l’environnement de développement local.

Cette initiative s’inscrit dans un contexte où les assistants de codage basés sur l’IA accélèrent la production de code, rendant d’autant plus critique la vérification précoce des dépendances. Le projet est actuellement disponible en open source et s’adresse en priorité aux développeurs JavaScript et TypeScript souhaitant intégrer une sécurité proactive dans leur flux de travail quotidien.

CVE Lite CLI : un scanner open source pour traquer les dépendances à risque dès le développement

À lire ensuite

La fusée New Glenn de Blue Origin détruite lors d'un essai : un revers majeur pour Amazon et la Nasa

Dell triple presque ses prévisions de ventes de serveurs IA, à 60 milliards de dollars

Acer officialise sa console portable Predator Atlas 8, première à embarquer la nouvelle puce Intel Arc G3

Peter Thiel installe sa famille en Argentine, séduit par les réformes libertaires de Milei