Arm balance Metis dans le domaine public, et franchement, c’est peut-être l’une des meilleures nouvelles pour la sécurité logicielle depuis que quelqu’un a inventé le correctif. Ce framework IA, spécialisé dans la chasse aux vulnérabilités les plus vicieuses, arrête de faire mumuse en vase clos et devient open source. Pour les devs, c’est un collègue qui passe le code au peigne fin, qui comprend les dépendances croisées, et qui pond des explications en langage clair au lieu de sortir des warnings cryptiques à la con.
Metis, c’est pas un outil de plus qui checke des patterns pré-définis comme les bons vieux SAST. Non, celui-là, il raisonne. Il analyse le code comme un agent, pas comme un dictionnaire de signatures. On balance sa base de code, il sort les failles avec leur contexte, leur propagation, et pourquoi c’est le bordel. Et tout ça en open source, piqué sous licence permissive (MIT, semble-t-il).
Bon, on va pas se mentir : c’est Arm qui balance ça, pas une startup hype. Arm, le roi des architectures de puces, pas exactement connu pour ses frasques en sécurité applicative. Ça sent le retour sur investissement après des années à se faire défoncer par les failles de sécurité dans les firmwares et les drivers. Plutôt que de pleurer dans leur coin, ils ont pondu Metis et le refilent à la commu. Sympa, mais faut voir si l’outil tient la route en conditions réelles. Les benchmarks internes montrent qu’il surpasse les SAST traditionnels sur les vulnérabilités multi-composants, mais on connaît la chanson entre le papier de recherche et le pipeline CI qui pète à 3h du mat.
En attendant, les mainteneurs de projets open source peuvent souffler un peu. Avec Metis, ils ont un allié de poids pour dégotter les failles sans passer des nuits blanches à éplucher des logs. Et si en plus les boîtes se mettent à filer des crédits LLM aux projets open source (comme ça se discute sur Hacker News), on tient peut-être un début de cercle vertueux. Un framework IA open source pour la sécu, alimenté par des crédits de calcul donnés par les GAFAM… Ouais, j’y croirai quand je verrai le PR merge.
En attendant, il ne reste plus qu’à télécharger Metis, l’intégrer dans son CI, et espérer qu’il ne sorte pas un rapport de 300 pages de faux positifs.
Sources :
Comments are closed