Application Security

🥵 ALERTE : l’affaire Trivy est encore pire que prévu !!!! 💣 Je viens de mettre à jour mon billet sur la seconde compromission de Trivy. Au départ, l’attention s’est concentrée sur v0.69.4. Mais les nouvelles analys…

Dans la sécurité, on oublie trop souvent un maillon critique : le poste du développeur. C’est pourtant là qu’on retrouve des clés SSH, les tokens GitHub, les credentials cloud, les historiques shell, les configs d’IDE, …

Ton frontend devient ingérable. Pas parce qu’il est gros, mais parce qu’il est mal organisé. Architecture par couches, version classique : → components → hooks → utils → services Au début, tout va bien. Puis chaque fea…

La sécurité parfaite est un mythe. La sécurité pragmatique, non. Sur une app exposée, on a ajouté 4 garde-fous simples : → rate limit sur les endpoints sensibles → helmet par défaut → validation stricte à l’entrée → con…

On parle souvent de supply chain security en pensant aux dépendances, aux runners ou aux actions compromises. Mais il y a un angle mort que beaucoup sous-estiment dans les pipelines CI/CD : les variables d’environnement…

50 tutos sécurité ne font pas un profil DevSecOps solide. Ils ralentissent plus qu’ils n’accélèrent. Le piège est classique : → un tuto sur OWASP → un autre sur Kubernetes → une vidéo sur le cloud security → un thread s…

Ton agence tech te vole. Et tu la remercies. Personne ne veut l'entendre. Mais c'est la réalité de 80% des boîtes qui externalisent leur dev. Le code qu'on te livre ? Tu n'y comprends rien. C'est fait exprès. Ta dépen…

La sécurité n’est pas compliquée. Elle est souvent mal découpée. Quand tout est mélangé, rien n’est vraiment protégé. Je m’appuie sur un repère simple en trois couches. Couche 1 → transport   Ce qui fait circuler les d…

Vous pouvez livrer une application en une après-midi… et créer une faille en 30 secondes. 🔒 Je vois de plus en plus de projets “vibe coding” : vous décrivez le besoin, Claude Code / Codex produit le code, et ça tourne …