Developer Security GuidesGuides Sécurité Développeurs

SBOM, CVSS scoring, EPSS, patch decision frameworks and cross-ecosystem guides for developers.

SBOM, scoring CVSS, EPSS, frameworks de décision patch et guides transversaux pour développeurs.

Results for Résultats pour

Java Java

Spring Boot Security Vulnerabilities in 2026: CVE-2026-40976 (CVSS 9.1), Zombie Dependencies & Hardening Guide

Vulnérabilités Spring Boot en 2026 : CVE-2026-40976 (CVSS 9.1), Dépendances Zombies & Guide de Durcissement

CVE-2026-40976 (CVSS 9.1) silently disables Spring Boot’s default security filter chain — all endpoints become unauthenticated with no warning. 37 Spring CVEs in 2 months, 24 upstream CVEs in May 2026 alone (Tomcat/Netty/Thymeleaf). MavenGate: 6,170 Maven Central domains hijackable. Complete 2026 hardening guide for Java devs.

CVE-2026-40976 (CVSS 9.1) désactive silencieusement la chaîne de filtres de sécurité par défaut de Spring Boot — tous les endpoints deviennent non authentifiés sans avertissement. 37 CVE Spring en 2 mois, 24 CVE en amont en mai 2026 seul (Tomcat/Netty/Thymeleaf). MavenGate : 6 170 domaines Maven Central hijackables. Guide complet de durcissement 2026.

npm npm

npm package.json Security Best Practices in 2026: Lifecycle Scripts, Lockfile Integrity & Provenance Guide

Meilleures Pratiques de Sécurité package.json npm en 2026 : Scripts Lifecycle, Intégrité Lockfile & Guide Provenance

454,648 malicious npm packages in 2025. postinstall hooks compromised Axios (100M dl/week), Bitwarden CLI & TanStack in 2026. Complete guide: scripts hardening, lockfile integrity, overrides for transitive CVEs, private registry .npmrc config & provenance attestation — only 12% of top packages ship with it.

454 648 packages npm malveillants en 2025. Les hooks postinstall ont compromis Axios (100M dl/sem), Bitwarden CLI & TanStack en 2026. Guide complet : durcissement des scripts, intégrité lockfile, overrides pour CVE transitives, config .npmrc registre privé & attestations de provenance — seulement 12% des top packages les embarquent.

Guides Guides

GitHub Dependabot Security Alerts in 2026: AI Fixes, Malware Detection & How to Stop Alert Fatigue

Alertes Sécurité Dependabot en 2026 : Correctifs IA, Détection Malware & Comment Arrêter la Fatigue des Alertes

Dependabot gained malware detection for npm (March 2026) and AI agent fix assignment — Copilot, Claude & Codex (April 2026). Yet 85% of security PRs go unmerged. Complete 2026 guide: auto-triage rules with EPSS, GHSA vs CVE gap (213K unreviewed advisories), dependabot.yml best practices & what Dependabot still misses.

Dependabot a ajouté la détection de malware npm (mars 2026) et l'assignation d'agents IA — Copilot, Claude & Codex (avril 2026). Pourtant 85% des PRs sécurité ne sont pas fus iquées. Guide complet 2026 : règles d'auto-triage avec EPSS, fossé GHSA vs CVE (213K advisories non examinés), meilleures pratiques dependabot.yml & ce que Dependabot manque encore.

Guides Guides

Docker Compose Security in 2026: CVE-2025-62725 (CVSS 8.9), Secrets Exposure & Hardening Guide

Sécurité Docker Compose en 2026 : CVE-2025-62725 (CVSS 8.9), Exposition des Secrets & Guide de Durcissement

CVE-2025-62725 (CVSS 8.9) overwrites arbitrary host files via docker compose ps — no containers needed, fixed in Compose 2.40.2. CVE-2026-34040 (CVSS 8.8) bypasses Docker Engine AuthZ plugins with one padded request, fixed in Engine 29.3.1. Complete 2026 hardening checklist: secrets management, port binding, capabilities, rootless containers.

CVE-2025-62725 (CVSS 8.9) écrase des fichiers arbitraires via docker compose ps — sans lancer de conteneur, corrigée dans Compose 2.40.2. CVE-2026-34040 (CVSS 8.8) contourne les plugins AuthZ Docker Engine avec une requête rembourrée, corrigée dans Engine 29.3.1. Checklist de durcissement 2026 : gestion des secrets, liaison des ports, capabilities, conteneurs rootless.

Supply Chain Supply Chain

Malicious VS Code Extensions in 2026: GlassWorm, MaliciousCorgi & Developer Supply Chain Security Guide

Extensions VS Code Malveillantes en 2026 : GlassWorm, MaliciousCorgi & Guide Sécurité Supply Chain

GlassWorm planted 73 malicious extensions on OpenVSX (April 27, 2026) — the 4th wave since October 2025. MaliciousCorgi silently exfiltrated source code from 1.5M developer machines via AI-branded extensions. CVE-2025-65717 (CVSS 9.1) in Live Server (72M installs) remains unpatched. Complete audit checklist, CVE breakdown & enterprise hardening guide.

GlassWorm a planté 73 extensions malveillantes sur OpenVSX (27 avril 2026) — la 4e vague depuis octobre 2025. MaliciousCorgi a silencieusement exfiltré du code source depuis 1,5M de machines de développeurs via des extensions IA. CVE-2025-65717 (CVSS 9.1) dans Live Server (72M installations) reste non corrigée. Check-list d’audit complète, analyse CVE & guide de durcissement entreprise.

Guides Guides

GitHub Actions OIDC Token Security in 2026: Token Theft, pull_request_target Attacks & Hardening Guide

Sécurité Tokens OIDC GitHub Actions en 2026 : Vol de Tokens, Attaques pull_request_target & Guide de Durcissement

OIDC tokens stolen via chained GitHub Actions exploits enabled 84 malicious TanStack packages published in 6 minutes (CVE-2026-45321, CVSS 9.6). 23,000+ repos compromised via tj-actions. GitHub’s 2026 Security Roadmap explained: dependency locking, L7 egress firewall, scoped secrets & immutable subject claims. Complete workflow hardening checklist.

Des tokens OIDC volés via des exploits GitHub Actions chaînés ont permis la publication de 84 packages TanStack malveillants en 6 minutes (CVE-2026-45321, CVSS 9.6). 23 000+ dépôts compromis via tj-actions. Roadmap Sécurité GitHub 2026 expliquée : verrouillage de dépendances, pare-feu L7, secrets limités & claims subject immuables. Check-list complète de durcissement.

Python Python

pip-audit vs Safety CLI vs OSV-Scanner in 2026: Python Dependency Security Tools Compared & CI/CD Guide

pip-audit vs Safety CLI vs OSV-Scanner en 2026 : Comparaison des Outils de Sécurité Python & Guide CI/CD

270K+ known vulnerabilities linked to PyPI versions in 2025. Full 2026 comparison of pip-audit 2.10.0 (PEP 751 lockfile support), Safety CLI 3.7.0 (freemium, 3× broader database), and OSV-Scanner V2 (polyglot, SARIF, container scanning) — with GitHub Actions recipes and PyPI Trusted Publishers guide.

270K+ vulnérabilités connues liées aux versions PyPI en 2025. Comparaison complète 2026 de pip-audit 2.10.0 (support lockfile PEP 751), Safety CLI 3.7.0 (freemium, base 3× plus large) et OSV-Scanner V2 (polyglotte, SARIF, scan containers) — avec recettes GitHub Actions et guide PyPI Trusted Publishers.

Vue.js / Nuxt Vue.js / Nuxt

Vue.js & Nuxt Security Vulnerabilities in 2026: CVE-2025-52662 DevTools RCE Chain, CDN Cache Poisoning & Hardening Guide

Vulnérabilités Vue.js & Nuxt en 2026 : Chaîne RCE DevTools CVE-2025-52662, Empoisonnement Cache CDN & Guide de Durcissement

Nuxt patched 4 CVEs in 2025–2026 — CVE-2025-52662 (CVSS 6.9) chains XSS → auth token exfiltration → path traversal → RCE in DevTools, CVE-2025-27415 (CVSS 7.5) poisons CDN caches with crafted headers, CVE-2026-34404 & CVE-2026-34405 expose unauthenticated OG Image endpoints to DoS & reflected XSS. v-html XSS patterns & nuxt-security hardening guide for 6.4M weekly Vue downloads.

Nuxt a corrigé 4 CVE en 2025–2026 — CVE-2025-52662 (CVSS 6.9) chaîne XSS → exfiltration token → path traversal → RCE dans DevTools, CVE-2025-27415 (CVSS 7.5) empoisonne les caches CDN, CVE-2026-34404 & CVE-2026-34405 exposent les endpoints OG Image non authentifiés à un DoS & XSS réfléchi. Patterns XSS v-html & guide de durcissement nuxt-security.

React React

React Security Vulnerabilities in 2026: CVE-2025-55182 (CVSS 10.0 React2Shell), RSC DoS Chain & Hardening Guide

Vulnérabilités React en 2026 : CVE-2025-55182 (CVSS 10.0 React2Shell), Chaîne DoS RSC & Guide de Durcissement

React published 6 CVEs between December 2025 and May 2026. CVE-2025-55182 (React2Shell, CVSS 10.0) enabled unauthenticated RCE on any RSC deployment — exploited within 48h, 766 servers compromised. CVE-2026-23870 (CVSS 7.5) crashes RSC apps via low-bandwidth requests. Cloudflare added WAF mitigations May 6, 2026. dangerouslySetInnerHTML XSS patterns & complete hardening guide.

React a publié 6 CVE entre décembre 2025 et mai 2026. CVE-2025-55182 (React2Shell, CVSS 10.0) permettait un RCE non authentifié sur tout déploiement RSC — exploitée en 48h, 766 serveurs compromis. CVE-2026-23870 (CVSS 7.5) crashe les apps RSC via des requêtes à faible débit. Cloudflare a ajouté des atténuations WAF le 6 mai 2026. Patterns XSS dangerouslySetInnerHTML & guide de durcissement complet.

Svelte / SvelteKit Svelte / SvelteKit

Svelte & SvelteKit Security Vulnerabilities in 2026: CVE-2026-40073 (CVSS 8.2), SvelteSpill Cache Deception & Hardening Guide

Vulnérabilités Svelte & SvelteKit en 2026 : CVE-2026-40073 (CVSS 8.2), SvelteSpill Cache Deception & Guide de Durcissement

SvelteKit disclosed 6 CVEs in 2026 — CVE-2026-40073 (CVSS 8.2) lets unauthenticated attackers bypass BODY_SIZE_LIMIT via chunked encoding. CVE-2025-67647 enables full-read SSRF & one-shot DoS via prerendered routes. SvelteSpill (CVE-2026-27118) leaks authenticated session data through Vercel CDN. devalue CVEs exhaust server memory from a single request. Hardening checklist included.

SvelteKit a divulgué 6 CVE en 2026 — CVE-2026-40073 (CVSS 8.2) permet à des attaquants non authentifiés de contourner BODY_SIZE_LIMIT via l’encodage par chunks. CVE-2025-67647 active le SSRF à lecture complète & DoS en un coup via les routes pré-rendues. SvelteSpill (CVE-2026-27118) fuit les données de session authentifiées via le CDN Vercel. Check-list de durcissement incluse.

npm npm

TypeScript & Deno Security Vulnerabilities in 2026: CVE-2026-32260 Command Injection Chain & Hardening Guide

Vulnérabilités TypeScript & Deno en 2026 : Chaîne d’Injection CVE-2026-32260 & Guide de Durcissement

Deno patched 4 CVEs between January and May 2026 — CVE-2026-32260 (CVSS 8.1) bypasses the fix for CVE-2026-27190 via backtick substitution in double-quoted arguments, CVE-2026-41690 (CVSS 8.6) lets unauthenticated clients pollute Object.prototype. TypeScript type confusion pitfalls, deno.lock & import maps hardening guide.

Deno a corrigé 4 CVE entre janvier et mai 2026 — CVE-2026-32260 (CVSS 8.1) contourne le correctif de CVE-2026-27190 via la substitution par guillemets obliques dans des arguments entre guillemets doubles, CVE-2026-41690 (CVSS 8.6) permet à des clients non authentifiés de polluer Object.prototype. Pièges de confusion de types TypeScript, guide de durcissement deno.lock & import maps.

Angular Angular

Angular Security Vulnerabilities in 2026: CVE-2026-27739 (CVSS 9.2 SSRF), XSS Epidemic & Hardening Guide

Vulnérabilités Angular en 2026 : CVE-2026-27739 (CVSS 9.2 SSRF), Épidémie XSS & Guide de Durcissement

Angular patched 7 CVEs across 2025–2026 — CVE-2026-27739 (CVSS 9.2, Critical SSRF in SSR pipeline), CVE-2026-22610 (CVSS 8.5, XSS via SVG script attributes), CVE-2026-27970 (XSS in i18n ICU messages affecting every Angular version ever released). CSP, TrustedTypes & full hardening guide.

Angular a corrigé 7 CVE en 2025–2026 — CVE-2026-27739 (CVSS 9.2, SSRF Critique dans le pipeline SSR), CVE-2026-22610 (CVSS 8.5, XSS via attributs SVG script), CVE-2026-27970 (XSS dans les messages ICU i18n affectant toutes les versions Angular jamais publiées). CSP, TrustedTypes & guide de durcissement complet.

Monitor your dependencies automatically

Surveillez vos dépendances automatiquement

Upload your lockfiles and get instant CVE alerts. No code access required.

Uploadez vos lockfiles et recevez des alertes CVE instantanées. Aucun accès au code requis.

Start your 14-day free trial Demarrer l'essai gratuit 14 jours