GUIDES
Developer Security GuidesGuides Sécurité Développeurs
SBOM, CVSS scoring, EPSS, patch decision frameworks and cross-ecosystem guides for developers.
SBOM, scoring CVSS, EPSS, frameworks de décision patch et guides transversaux pour développeurs.
Results for Résultats pour
No articles matched your search
Aucun article ne correspond à votre recherche
Spring Boot Security Vulnerabilities in 2026: CVE-2026-40976 (CVSS 9.1), Zombie Dependencies & Hardening Guide
Vulnérabilités Spring Boot en 2026 : CVE-2026-40976 (CVSS 9.1), Dépendances Zombies & Guide de Durcissement
CVE-2026-40976 (CVSS 9.1) silently disables Spring Boot’s default security filter chain — all endpoints become unauthenticated with no warning. 37 Spring CVEs in 2 months, 24 upstream CVEs in May 2026 alone (Tomcat/Netty/Thymeleaf). MavenGate: 6,170 Maven Central domains hijackable. Complete 2026 hardening guide for Java devs.
CVE-2026-40976 (CVSS 9.1) désactive silencieusement la chaîne de filtres de sécurité par défaut de Spring Boot — tous les endpoints deviennent non authentifiés sans avertissement. 37 CVE Spring en 2 mois, 24 CVE en amont en mai 2026 seul (Tomcat/Netty/Thymeleaf). MavenGate : 6 170 domaines Maven Central hijackables. Guide complet de durcissement 2026.
npm npmnpm package.json Security Best Practices in 2026: Lifecycle Scripts, Lockfile Integrity & Provenance Guide
Meilleures Pratiques de Sécurité package.json npm en 2026 : Scripts Lifecycle, Intégrité Lockfile & Guide Provenance
454,648 malicious npm packages in 2025. postinstall hooks compromised Axios (100M dl/week), Bitwarden CLI & TanStack in 2026. Complete guide: scripts hardening, lockfile integrity, overrides for transitive CVEs, private registry .npmrc config & provenance attestation — only 12% of top packages ship with it.
454 648 packages npm malveillants en 2025. Les hooks postinstall ont compromis Axios (100M dl/sem), Bitwarden CLI & TanStack en 2026. Guide complet : durcissement des scripts, intégrité lockfile, overrides pour CVE transitives, config .npmrc registre privé & attestations de provenance — seulement 12% des top packages les embarquent.
Guides GuidesGitHub Dependabot Security Alerts in 2026: AI Fixes, Malware Detection & How to Stop Alert Fatigue
Alertes Sécurité Dependabot en 2026 : Correctifs IA, Détection Malware & Comment Arrêter la Fatigue des Alertes
Dependabot gained malware detection for npm (March 2026) and AI agent fix assignment — Copilot, Claude & Codex (April 2026). Yet 85% of security PRs go unmerged. Complete 2026 guide: auto-triage rules with EPSS, GHSA vs CVE gap (213K unreviewed advisories), dependabot.yml best practices & what Dependabot still misses.
Dependabot a ajouté la détection de malware npm (mars 2026) et l'assignation d'agents IA — Copilot, Claude & Codex (avril 2026). Pourtant 85% des PRs sécurité ne sont pas fus iquées. Guide complet 2026 : règles d'auto-triage avec EPSS, fossé GHSA vs CVE (213K advisories non examinés), meilleures pratiques dependabot.yml & ce que Dependabot manque encore.
Guides GuidesDocker Compose Security in 2026: CVE-2025-62725 (CVSS 8.9), Secrets Exposure & Hardening Guide
Sécurité Docker Compose en 2026 : CVE-2025-62725 (CVSS 8.9), Exposition des Secrets & Guide de Durcissement
CVE-2025-62725 (CVSS 8.9) overwrites arbitrary host files via docker compose ps — no containers needed, fixed in Compose 2.40.2. CVE-2026-34040 (CVSS 8.8) bypasses Docker Engine AuthZ plugins with one padded request, fixed in Engine 29.3.1. Complete 2026 hardening checklist: secrets management, port binding, capabilities, rootless containers.
CVE-2025-62725 (CVSS 8.9) écrase des fichiers arbitraires via docker compose ps — sans lancer de conteneur, corrigée dans Compose 2.40.2. CVE-2026-34040 (CVSS 8.8) contourne les plugins AuthZ Docker Engine avec une requête rembourrée, corrigée dans Engine 29.3.1. Checklist de durcissement 2026 : gestion des secrets, liaison des ports, capabilities, conteneurs rootless.
Malicious VS Code Extensions in 2026: GlassWorm, MaliciousCorgi & Developer Supply Chain Security Guide
Extensions VS Code Malveillantes en 2026 : GlassWorm, MaliciousCorgi & Guide Sécurité Supply Chain
GlassWorm planted 73 malicious extensions on OpenVSX (April 27, 2026) — the 4th wave since October 2025. MaliciousCorgi silently exfiltrated source code from 1.5M developer machines via AI-branded extensions. CVE-2025-65717 (CVSS 9.1) in Live Server (72M installs) remains unpatched. Complete audit checklist, CVE breakdown & enterprise hardening guide.
GlassWorm a planté 73 extensions malveillantes sur OpenVSX (27 avril 2026) — la 4e vague depuis octobre 2025. MaliciousCorgi a silencieusement exfiltré du code source depuis 1,5M de machines de développeurs via des extensions IA. CVE-2025-65717 (CVSS 9.1) dans Live Server (72M installations) reste non corrigée. Check-list d’audit complète, analyse CVE & guide de durcissement entreprise.
Guides GuidesGitHub Actions OIDC Token Security in 2026: Token Theft, pull_request_target Attacks & Hardening Guide
Sécurité Tokens OIDC GitHub Actions en 2026 : Vol de Tokens, Attaques pull_request_target & Guide de Durcissement
OIDC tokens stolen via chained GitHub Actions exploits enabled 84 malicious TanStack packages published in 6 minutes (CVE-2026-45321, CVSS 9.6). 23,000+ repos compromised via tj-actions. GitHub’s 2026 Security Roadmap explained: dependency locking, L7 egress firewall, scoped secrets & immutable subject claims. Complete workflow hardening checklist.
Des tokens OIDC volés via des exploits GitHub Actions chaînés ont permis la publication de 84 packages TanStack malveillants en 6 minutes (CVE-2026-45321, CVSS 9.6). 23 000+ dépôts compromis via tj-actions. Roadmap Sécurité GitHub 2026 expliquée : verrouillage de dépendances, pare-feu L7, secrets limités & claims subject immuables. Check-list complète de durcissement.
Python Pythonpip-audit vs Safety CLI vs OSV-Scanner in 2026: Python Dependency Security Tools Compared & CI/CD Guide
pip-audit vs Safety CLI vs OSV-Scanner en 2026 : Comparaison des Outils de Sécurité Python & Guide CI/CD
270K+ known vulnerabilities linked to PyPI versions in 2025. Full 2026 comparison of pip-audit 2.10.0 (PEP 751 lockfile support), Safety CLI 3.7.0 (freemium, 3× broader database), and OSV-Scanner V2 (polyglot, SARIF, container scanning) — with GitHub Actions recipes and PyPI Trusted Publishers guide.
270K+ vulnérabilités connues liées aux versions PyPI en 2025. Comparaison complète 2026 de pip-audit 2.10.0 (support lockfile PEP 751), Safety CLI 3.7.0 (freemium, base 3× plus large) et OSV-Scanner V2 (polyglotte, SARIF, scan containers) — avec recettes GitHub Actions et guide PyPI Trusted Publishers.
Vue.js / Nuxt Vue.js / NuxtVue.js & Nuxt Security Vulnerabilities in 2026: CVE-2025-52662 DevTools RCE Chain, CDN Cache Poisoning & Hardening Guide
Vulnérabilités Vue.js & Nuxt en 2026 : Chaîne RCE DevTools CVE-2025-52662, Empoisonnement Cache CDN & Guide de Durcissement
Nuxt patched 4 CVEs in 2025–2026 — CVE-2025-52662 (CVSS 6.9) chains XSS → auth token exfiltration → path traversal → RCE in DevTools, CVE-2025-27415 (CVSS 7.5) poisons CDN caches with crafted headers, CVE-2026-34404 & CVE-2026-34405 expose unauthenticated OG Image endpoints to DoS & reflected XSS. v-html XSS patterns & nuxt-security hardening guide for 6.4M weekly Vue downloads.
Nuxt a corrigé 4 CVE en 2025–2026 — CVE-2025-52662 (CVSS 6.9) chaîne XSS → exfiltration token → path traversal → RCE dans DevTools, CVE-2025-27415 (CVSS 7.5) empoisonne les caches CDN, CVE-2026-34404 & CVE-2026-34405 exposent les endpoints OG Image non authentifiés à un DoS & XSS réfléchi. Patterns XSS v-html & guide de durcissement nuxt-security.
React ReactReact Security Vulnerabilities in 2026: CVE-2025-55182 (CVSS 10.0 React2Shell), RSC DoS Chain & Hardening Guide
Vulnérabilités React en 2026 : CVE-2025-55182 (CVSS 10.0 React2Shell), Chaîne DoS RSC & Guide de Durcissement
React published 6 CVEs between December 2025 and May 2026. CVE-2025-55182 (React2Shell, CVSS 10.0) enabled unauthenticated RCE on any RSC deployment — exploited within 48h, 766 servers compromised. CVE-2026-23870 (CVSS 7.5) crashes RSC apps via low-bandwidth requests. Cloudflare added WAF mitigations May 6, 2026. dangerouslySetInnerHTML XSS patterns & complete hardening guide.
React a publié 6 CVE entre décembre 2025 et mai 2026. CVE-2025-55182 (React2Shell, CVSS 10.0) permettait un RCE non authentifié sur tout déploiement RSC — exploitée en 48h, 766 serveurs compromis. CVE-2026-23870 (CVSS 7.5) crashe les apps RSC via des requêtes à faible débit. Cloudflare a ajouté des atténuations WAF le 6 mai 2026. Patterns XSS dangerouslySetInnerHTML & guide de durcissement complet.
Svelte / SvelteKit Svelte / SvelteKitSvelte & SvelteKit Security Vulnerabilities in 2026: CVE-2026-40073 (CVSS 8.2), SvelteSpill Cache Deception & Hardening Guide
Vulnérabilités Svelte & SvelteKit en 2026 : CVE-2026-40073 (CVSS 8.2), SvelteSpill Cache Deception & Guide de Durcissement
SvelteKit disclosed 6 CVEs in 2026 — CVE-2026-40073 (CVSS 8.2) lets unauthenticated attackers bypass BODY_SIZE_LIMIT via chunked encoding. CVE-2025-67647 enables full-read SSRF & one-shot DoS via prerendered routes. SvelteSpill (CVE-2026-27118) leaks authenticated session data through Vercel CDN. devalue CVEs exhaust server memory from a single request. Hardening checklist included.
SvelteKit a divulgué 6 CVE en 2026 — CVE-2026-40073 (CVSS 8.2) permet à des attaquants non authentifiés de contourner BODY_SIZE_LIMIT via l’encodage par chunks. CVE-2025-67647 active le SSRF à lecture complète & DoS en un coup via les routes pré-rendues. SvelteSpill (CVE-2026-27118) fuit les données de session authentifiées via le CDN Vercel. Check-list de durcissement incluse.
npm npmTypeScript & Deno Security Vulnerabilities in 2026: CVE-2026-32260 Command Injection Chain & Hardening Guide
Vulnérabilités TypeScript & Deno en 2026 : Chaîne d’Injection CVE-2026-32260 & Guide de Durcissement
Deno patched 4 CVEs between January and May 2026 — CVE-2026-32260 (CVSS 8.1) bypasses the fix for CVE-2026-27190 via backtick substitution in double-quoted arguments, CVE-2026-41690 (CVSS 8.6) lets unauthenticated clients pollute Object.prototype. TypeScript type confusion pitfalls, deno.lock & import maps hardening guide.
Deno a corrigé 4 CVE entre janvier et mai 2026 — CVE-2026-32260 (CVSS 8.1) contourne le correctif de CVE-2026-27190 via la substitution par guillemets obliques dans des arguments entre guillemets doubles, CVE-2026-41690 (CVSS 8.6) permet à des clients non authentifiés de polluer Object.prototype. Pièges de confusion de types TypeScript, guide de durcissement deno.lock & import maps.
Angular AngularAngular Security Vulnerabilities in 2026: CVE-2026-27739 (CVSS 9.2 SSRF), XSS Epidemic & Hardening Guide
Vulnérabilités Angular en 2026 : CVE-2026-27739 (CVSS 9.2 SSRF), Épidémie XSS & Guide de Durcissement
Angular patched 7 CVEs across 2025–2026 — CVE-2026-27739 (CVSS 9.2, Critical SSRF in SSR pipeline), CVE-2026-22610 (CVSS 8.5, XSS via SVG script attributes), CVE-2026-27970 (XSS in i18n ICU messages affecting every Angular version ever released). CSP, TrustedTypes & full hardening guide.
Angular a corrigé 7 CVE en 2025–2026 — CVE-2026-27739 (CVSS 9.2, SSRF Critique dans le pipeline SSR), CVE-2026-22610 (CVSS 8.5, XSS via attributs SVG script), CVE-2026-27970 (XSS dans les messages ICU i18n affectant toutes les versions Angular jamais publiées). CSP, TrustedTypes & guide de durcissement complet.
Monitor your dependencies automatically
Surveillez vos dépendances automatiquement
Upload your lockfiles and get instant CVE alerts. No code access required.
Uploadez vos lockfiles et recevez des alertes CVE instantanées. Aucun accès au code requis.
Start your 14-day free trial Demarrer l'essai gratuit 14 jours