Senshielderia
CVE analysis powered by DefectDojo & Copilot agents — by Ayoub & Mathieu @ Sopra Steria.
Fonctionnalités
- Connexion DefectDojo : URL, proxy corporate, token sécurisé (SecretStorage)
- Sidebar interactive : Liste des produits, findings par sévérité, progression en temps réel
- Analyse Copilot Agents : Orchestration IA (Claude Haiku/Sonnet) pour évaluer l'exploitabilité
- Quick Reject : Rejet rapide (⚡) des CVE non applicables en < 30s
- Rapports HTML : Dashboard visuel par produit avec répartition par sévérité
- Répertoire par produit : Résultats organisés sous
.security/{product-slug}/
- Déploiement d'agents : Installe orchestrator, cve-analyzer, remediation dans
.github/agents/
Screenshots
Installation
cd extension
npm install
npm run compile
Puis F5 dans VS Code pour lancer en mode développement.
Configuration
Dans VS Code Settings (Ctrl+,) :
| Setting |
Description |
defectdojo.url |
URL de l'instance DefectDojo |
defectdojo.proxy |
URL du proxy HTTP |
defectdojo.useProxy |
Activer/désactiver le proxy |
defectdojo.defaultSeverity |
Sévérité minimale par défaut |
Le token API est stocké dans le Secret Storage de VS Code (jamais en clair).
Architecture
extension/
src/
extension.ts — Point d'entrée, activation, commandes
sidebarProvider.ts — UI webview sidebar
defectdojoClient.ts — Client API DefectDojo (avec support proxy CONNECT)
agentDeployer.ts — Déploiement des agents Copilot dans le workspace
reportGenerator.ts — Génération de rapports Markdown
media/
icon.svg — Icône sidebar
package.json — Manifest VS Code
tsconfig.json — Config TypeScript
Usage
- Ouvrir la sidebar "DefectDojo Security" (icône bouclier)
- Configurer l'URL, le proxy et le token
- Tester la connexion
- Déployer les agents Copilot (optionnel, pour l'analyse IA)
- Charger les projets
- Cliquer 🤖 pour lancer l'analyse agents sur un produit
Prérequis
- VS Code ≥ 1.90.0
- Accès réseau à une instance DefectDojo (v2 API)
- GitHub Copilot Chat (pour l'analyse agents)
| |
