Corriger les vulnérabilités détectées grâce à Factory AI et Snyk Studio
Écrit par
0 minutes de lecture
Vous allez adorer coder avec les DroidsFactory AI. Tout est fluide, intuitif, prenant, presque comme un jeu. Cet engagement envers l’expérience utilisateur se retrouve dans leur interface comme dans leurs collaborations, notamment avec Linear, concurrent plus récent de Jira, réputé pour son expérience utilisateur soignée avec des raccourcis clavier et des animations réactives. Si les outils comme Claude Code, OpenAI Codex et Gemini CLI donnent l’impression de travailler sur un fichier Word hors ligne, Factory AI s'apparente plus à un Google Drive en ligne pensé pour la collaboration.
Les développeurs bénéficient d’un tutoriel bien conçu, intégré au site, qui vous guide pour :
Télécharger la Factory CLI
Ajouter l’extension IDE Droid à VS Code ou à l’IDE de votre choix (Cursor, WindSurf…)
Attribuer sa première mission à votre Droid (les agents IA spécialisés de Factory AI), dans le navigateur ou depuis l’IDE.
Comment installer Factory CLI sur Linux :
curl -fsSL https://app.factory.ai/cli | shRécupérez l’extension VS Code ici. Une fois installée, appuyez sur `Ctrl+Maj+P` pour ouvrir la Palette de commandes et sélectionnez Run Factory Droid (Exécuter Factory Droid).
Qu’est-ce qu’un Droid ?
Factory AI propose des agents IA capables de gérer de nombreuses tâches courantes en développement logiciel. On les appelle « Droids ».
Code Droid :transformez vos idées en code prêt à être intégré. Développez vos fonctionnalités et composants à partir de consignes claires et laissez Code Droid comprendre votre code pour générer des fonctionnalités structurées et conformes à vos meilleures pratiques. Identifiez les parties complexes ou inefficaces de votre code et transformez-les en solutions plus claires, faciles à maintenir et performantes. Analysez les journaux d’erreurs, identifiez les causes des bugs et corrigez-les directement dans votre code. Créez des tests unitaires complets pour garantir un code fiable et éviter toute régression.
Knowledge Droid :recherche technique, documentation et guides d’intégration. Générez toute la documentation dont votre équipe a besoin : références API, architecture et relations entre composants, pour que chacun comprenne le projet et s’intègre facilement. Aidez votre équipe à saisir rapidement le fonctionnement de vos composants grâce à des explications claires sur les systèmes complexes et l’architecture. Accédez rapidement aux informations dont vous avez besoin dans votre code et votre documentation et gagnez du temps pour comprendre des fonctionnalités ou des détails techniques.
Reliability Droid :identifiez les incidents, créez des analyses de cause racine et corrigez des systèmes multi-services complexes. Identifiez rapidement les causes d’incidents en production en examinant les journaux, les indicateurs et le fonctionnement du système afin de détecter les schémas à l’origine des pannes ou des ralentissements. Créez des analyses de cause racine (RCA) complètes pour documenter chronologie, impact, causes et mesures préventives et les partager avec votre équipe. Développez des mécanismes fiables de gestion des erreurs intégrant coupe-circuits, logiques de retry et patterns de dégradation progressive, pour renforcer votre système et éviter l'effet domino.
Product Droid :structurez vos fonctionnalités, rédigez vos cahiers des charges et coordonnez vos projets. Rédigez des cahiers des charges détaillés avec présentation des fonctionnalités, récit utilisateur, critères d’acceptation, aspects techniques et phases de mise en œuvre pour les nouvelles fonctionnalités. Créez des récits utilisateurs détaillés avec critères d’acceptation, adaptés aux différents types d’utilisateurs et scénarios, pour que les équipes de développement saisissent clairement les besoins du point de vue de l’utilisateur. Analysez les fonctionnalités demandées et hiérarchisez-les en fonction de l’impact et de l’effort nécessaire, afin de déterminer facilement l’ordre de mise en œuvre.
Grâce à une bibliothèque d’agents IA prêts à l’emploi et spécialisés, cette approche contemporaine permet d’optimiser l’usage des fenêtres de contexte limitées des LLM. Si les agents uniques de Claude Code, OpenAI Codex ou Gemini CLI offrent une certaine polyvalence, Factory AI a consacré du temps à créer un agent spécialisé capable de gérer son contexte avec précision pour son objectif particulier. Même si vous utilisez les Droids spécialisés, vous pouvez toujours compter sur le Droid généraliste, inclus dans la bibliothèque, pour toutes les autres tâches.
Bonne nouvelle : Factory AI vous laisse libre de choisir votre LLM. Les principaux fournisseurs sont immédiatement disponibles (voir ci-dessous). Certaines variantes de LLM, par exemple optimisées pour le raisonnement, sont facilement accessibles depuis l’interface.
Prise en charge MCP
Tout comme les autres CLI pour agents IA, Droid CLI offre une excellente prise en charge du Model Context Protocol (MCP). Voici comment ajouter le serveur MCP de votre choix très facilement :
█████████ █████████ ████████ ███ █████████
███ ███ ███ ███ ███ ███ ███ ███ ███
███ ███ ███ ███ ███ ███ ███ ███ ███
███ ███ █████████ ███ ███ ███ ███ ███
███ ███ ███ ███ ███ ███ ███ ███ ███
███ ███ ███ ███ ███ ███ ███ ███ ███
█████████ ███ ███ ████████ ███ █████████
v0.19.9
You are standing in an open terminal. An AI awaits your commands.
ENTER to send • \ + ENTER for a new line • @ to mention files
Current folder: /home/owler/Documents/Snyk/snyk-mcp-demos/pygoat
Auto (Low) - edits and read-only commands shift+tab cycles Sonnet 4
╭─────────────────────────────────────────────────────────────────────╮
│ > Try "Search the documentation for this library" │
╰─────────────────────────────────────────────────────────────────────╯
? for help IDE ◌ | MCP ✓
● Usage: mcp add [options] <name> <command>
Add a new MCP server to the configuration
Arguments:
name Server name
command Command to start the server
Options:
-e, --env <key=value...> Environment variables (can be used multiple
times)
--transport <type> Transport type (defaults to "stdio") (default:
"stdio")
-h, --help display help for command
shift+tab to cycle modes Sonnet 4
╭────────────────────────────────────────────────────────────────────────────────╮
│ > /mcp add -h │
╰────────────────────────────────────────────────────────────────────────────────╯
? for help IDE ◌
Vous pouvez par exemple ajouter le serveur MCP officiel de Snyk depuis Droid CLI, à condition qu’il soit déjà installé sur votre ordinateur :
/mcp add SNYK "snyk mcp -t stdio"
● Starting MCP server "SNYK"...
Command: snyk
Args: ["mcp","-t","stdio"]
Environment variables: noneAlors, à quoi cela sert-il vraiment ? Quel est l’avantage à ajouter de nouvelles fonctionnalités à un Droid déjà performant ? Ses capacités de base : exécuter des commandes shell, lire, écrire et modifier des fichiers, sont déjà intégrées.
Corriger les vulnérabilités automatiquement grâce aux agents IA (Droids)
Pour cet exemple, j’ai cloné le dépôt pyGoat de adeyosemanputra, responsable projet OWASP. Ce projet contient volontairement une série de vulnérabilités bien documentées à des fins pédagogiques. Voici certaines vulnérabilités détectées par l’extension IDE Snyk :
On peut aussi demander au Droid de passer par le serveur MCP pour obtenir la liste de ces vulnérabilités. Le résultat est le suivant :
> Please run a code scan on the codebase with Snyk.
⛬ I'll help you run a Snyk code scan on the pygoat codebase. Let me first check the
authentication status and then perform the scan.
PLAN Updated: 3 total (2 pending, 1 in progress, 0 completed)
○ Check Snyk authentication status
○ Run Snyk code scan on pygoat codebase
○ Review and report scan results
[MCP] SNYK:SNYK_AUTH_STATUS
↳stephen.thoemmes
⛬ Great! You're authenticated as stephen.thoemmes. Now I'll run the Snyk code scan on
the pygoat codebase to identify security vulnerabilities.
PLAN Updated: 3 total (1 pending, 1 in progress, 1 completed)
○ Check Snyk authentication status
○ Run Snyk code scan on pygoat codebase
○ Review and report scan results
[MCP] SNYK:SNYK_CODE_SCAN (/home/owler/Documents/Snyk/factory/pygoat)
↳
Testing /home/owler/Documents/Snyk/factory/pygoat ...
✗ [Low] Use of Hardcoded Credentials
Path: introduction/playground/A9/api.py, line 17
Info: Do not hardcode credentials in code. Found hardcoded credential used in a
condition.
…
✗ [High] SQL Injection
Path: introduction/views.py, line 871
Info: Unsanitized input from an HTTP parameter flows into
introduction.models.sql_lab_table.objects.raw, where it is used in an SQL query. This
may result in an SQL Injection vulnerability.
…
✔ Test completed
Organization: stephen.thoemmes
Test type: Static code analysis
Project path: /home/owler/Documents/Snyk/factory/pygoat
Summary:
101 Code issues found
15 [High] 44 [Medium] 42 [Low]
PLAN Updated: 3 total (0 pending, 0 in progress, 3 completed)
○ Check Snyk authentication status
○ Run Snyk code scan on pygoat codebase
○ Review and report scan results
⛬ The Snyk code scan has completed successfully! Here's a summary of the security
findings:
Scan Results Summary
Total Issues Found: 101
• 15 High severity vulnerabilities
• 44 Medium severity vulnerabilities
• 42 Low severity vulnerabilities
Key High-Severity Issues Found:
1. SQL Injection - Multiple instances in views.py
2. Code Injection - eval() usage with unsanitized input
3. Command Injection - subprocess.Popen with unsanitized input
4. Path Traversal - File operations with unsanitized paths
5. XML External Entity (XXE) Injection - Insecure XML parsing
6. Deserialization vulnerabilities - pickle.loads and yaml.load with untrusted data
7. Hardcoded cryptographic keys - JWT keys hardcoded in source
8. Hardcoded secrets - Non-cryptographic secrets in code
Medium/Low Severity Issues:
• Hardcoded passwords and credentials
• CSRF protection disabled on multiple endpoints
• Insecure cookie configurations (missing HttpOnly/Secure flags)
• Weak hashing algorithms (MD5)
• Debug mode enabled in production
• SSRF vulnerabilities
This is a comprehensive security assessment showing that pygoat (being a
deliberately vulnerable application for educational purposes) contains numerous
intentional security flaws across all severity levels, making it an excellent
training platform for learning about web application security vulnerabilities.On voit bien le potentiel d'une nouvelle approche pour les workflows DevSecOps. La sécurité n’est plus une étape à part qu'on repousse à plus tard : détection et correction des vulnérabilités se font directement au fil du développement. La combinaison des agents spécialisés de Factory AI avec des serveurs MCP comme celui de Snyk permet de détecter, corriger et revalider les vulnérabilités directement depuis l’interface de développement.
Tournez-vous vers l'avenir avec Factory AI et Snyk Studio
À mesure que le MCP s’impose et que de nouveaux serveurs voient le jour, on peut imaginer des Droids capables de corriger les vulnérabilités, créer des tests de sécurité, mettre à jour la documentation et générer des tickets pour que les cas complexes soient traités par des humains. La structure modulaire des Droids Factory et du protocole MCP permet à chaque fonctionnalité d’évoluer indépendamment tout en restant compatibles entre elles.
Les équipes intéressées par un workflow similaire n'ont qu'à installer Factory CLI, ajouter leurs serveurs MCP préférés et commencer à se familiariser avec le processus automatisé pour corriger les vulnérabilités. Les agents IA sont là pour renforcer votre équipe de sécurité, pas pour la remplacer : ils prennent en charge les tâches répétitives, pendant que vos experts se concentrent sur les défis complexes et uniques.
Vous souhaitez savoir comment sécuriser l'environnement des serveurs MCP ? Téléchargez notre e-book dès aujourd'hui.
E-BOOK
Sécuriser l'environnement des serveurs MCP
Découvrez comment se produisent les attaques émergentes et analysez des incidents concrets pour appliquer des stratégies de défense efficaces et adaptées aux workflows.