Analyse des dépendances open source (SCA)
Maîtriser les vulnérabilités et risques liés aux composants logiciels tiers
Acteurs français proposant Analyse des dépendances open source (SCA)
Explorez et filtrez les entreprises françaises qui proposent cette solution.
6 entreprises trouvées
ARCAD Software
ARCAD Software est un éditeur français spécialisé dans la modernisation des applications IBM i (AS/400) et l'intégration de pratiques DevSecOps. Ses solutions incluent des outils d'analyse de code pour détecter les vulnérabilités et améliorer la qualité logicielle, ainsi que des outils d'anonymisation des données pour assurer la conformité réglementaire. ARCAD propose également des solutions de gestion des déploiements pour automatiser et sécuriser les processus de mise en production. Ses produits sont utilisés par des entreprises dans divers secteurs pour renforcer la sécurité de leurs applications et infrastructures.
Git Guardian
GitGuardian est une entreprise française de cybersécurité fondée en 2017, spécialisée dans la détection automatisée de secrets exposés dans le code source, tels que les clés API, les identifiants de bases de données et les certificats. Sa plateforme, disponible en mode SaaS ou on-premise, scanne les dépôts Git publics et privés, les pipelines CI/CD et les outils de développement pour identifier les secrets codés en dur, les erreurs de configuration d'infrastructure-as-code et les vulnérabilités de la chaîne d'approvisionnement logicielle. Grâce à son moteur d'analyse entraîné sur des milliards de commits GitHub, GitGuardian offre une détection précise et une remédiation à grande échelle, réduisant ainsi le temps moyen de résolution des incidents. En 2025, l'entreprise est devenue l'application numéro un sur GitHub Marketplace dans la catégorie sécurité. Parmi ses fonctionnalités phares figurent la surveillance publique en temps réel, la détection de secrets internes, l'injection de honeytokens pour piéger les intrus, ainsi que la gouvernance des identités non humaines (NHI) pour sécuriser les comptes de service et les jetons d'accès. GitGuardian est utilisé par des entreprises de divers secteurs, notamment la finance, l'automobile, les télécommunications et le secteur public, pour renforcer leur posture de sécurité et assurer leur conformité réglementaire.
ncScale
ncScale est une entreprise française fondée en 2021, spécialisée dans la supervision des applications développées avec des outils no-code tels que Bubble, Zapier, Airtable, Make ou WeWeb. Elle propose une plateforme SaaS permettant de centraliser les journaux d'événements, de surveiller les performances, de gérer les dépendances et de suivre les changements dans les applications no-code. Les fonctionnalités incluent la gestion des logs, des alertes personnalisables, un catalogue des actifs, le suivi des versions, la recherche en texte intégral et l'obfuscation des données sensibles. ncScale s'intègre avec des outils comme Cisco Secure Endpoint et Microsoft Azure Monitor via des plateformes d'automatisation telles que n8n, facilitant ainsi la création de workflows de sécurité automatisés. L'infrastructure est hébergée sur Amazon Web Services (AWS) en Europe, bénéficiant des certifications de sécurité telles que SOC 2 et ISO 27001. ncScale a annoncé la fermeture de ses services prévue pour le 21 mars 2025, tout en continuant à offrir ses solutions jusqu'à cette date.
OGO
OGO Security est une entreprise française fondée en 2018, spécialisée dans la protection des sites web, applications et API contre les cyberattaques. Sa solution phare, OGO Shield, est un pare-feu d'application web (WAF) souverain qui combine intelligence artificielle et analyses comportementales pour détecter et bloquer en temps réel les menaces, y compris les attaques de type zero-day. Fonctionnant sans règles prédéfinies ni gestion manuelle (Zero Rules), OGO Shield offre une protection automatique contre les attaques courantes telles que les injections SQL, les scripts intersites (XSS), les attaques par déni de service (DDoS) et les vulnérabilités des CMS. La solution est disponible en mode SaaS, on-premise ou dans un cloud souverain conforme au RGPD, avec des options d'hébergement en France. Elle intègre également des fonctionnalités de Smart Rate Limiting (SRL) pour protéger les API contre les attaques par force brute, et propose un tableau de bord en temps réel pour la visualisation du trafic et des menaces bloquées. OGO Security collabore avec des partenaires tels que NumSpot et OVHcloud pour offrir des services de cybersécurité dans des environnements certifiés SecNumCloud. Parmi ses clients figurent des collectivités territoriales, des entreprises du secteur public et privé, ainsi que des institutions soucieuses de renforcer leur souveraineté numérique.
Purplemet
Purplemet est une entreprise française fondée en 2019, spécialisée dans la gestion proactive de la surface d'attaque des applications web. Sa plateforme SaaS de Web Attack Surface Management (ASM) offre une visibilité complète en temps réel sur l'ensemble des actifs web d'une organisation, y compris les applications, API et composants cachés tels que le shadow IT. Grâce à une détection technologique approfondie, Purplemet identifie automatiquement les versions, vulnérabilités (CVE) et configurations sensibles, sans nécessiter de configuration complexe ni impacter les performances des systèmes analysés. La plateforme fournit des alertes instantanées sur les nouvelles vulnérabilités et changements technologiques, accompagnées d'une priorisation intelligente basée sur des scores tels que NIST EPSS et CISA KEV, permettant aux équipes de sécurité de se concentrer sur les risques les plus critiques. Purplemet s'intègre facilement aux pipelines CI/CD existants, offrant une solution complémentaire aux scanners traditionnels et aux tests d'intrusion, tout en étant plus rapide, plus économique et moins intrusif. Elle est utilisée par plus de 100 organisations pour renforcer leur hygiène cybernétique et leur résilience numérique.
R2Devops
R2Devops est une startup française fondée en 2023, spécialisée dans la sécurisation des chaînes d'approvisionnement logicielles (software supply chains) pour les environnements DevSecOps. Sa plateforme basée sur l'intelligence artificielle automatise l'audit de conformité des pipelines CI/CD GitLab, permettant aux équipes techniques, RSSI et DSI de vérifier rapidement la conformité aux normes telles que ISO 27001, SecNumCloud, NIS2 et OWASP. En quelques heures, R2Devops identifie les vulnérabilités, les mauvaises configurations et les risques liés aux dépendances logicielles, offrant ainsi une visibilité complète sur l'intégrité des processus de développement. L'outil génère également des tableaux de bord interactifs et des rapports détaillés, facilitant la collaboration entre les équipes et la gestion des risques. R2Devops s'intègre aisément aux outils existants, comme GitLab, et est conçu pour être utilisé par des organisations de toutes tailles, des PME aux grands groupes. Elle est reconnue pour sa capacité à renforcer la confiance numérique et à réduire les risques liés aux chaînes d'approvisionnement logicielles.
Questions fréquentes
La SCA consiste à analyser les composants open source utilisés dans une application afin d'identifier les vulnérabilités, les risques de licence et les dépendances critiques.
Une vulnérabilité dans une bibliothèque tierce peut impacter toutes les applications qui l'utilisent, parfois sans que les équipes en aient conscience.
Oui. Le SAST analyse le code développé en interne. La SCA analyse les composants tiers. Le DAST teste l'application en fonctionnement. Ces approches couvrent des risques différents et complémentaires.
Oui. La plupart des solutions SCA permettent d'identifier les types de licences (MIT, GPL, Apache, etc.) et d'alerter en cas de contraintes incompatibles avec les usages de l'organisation.
Dès les phases de développement et tout au long du cycle de vie applicatif, notamment via une intégration aux chaînes CI/CD.
Aux équipes de développement, sécurité, juridiques, DevOps et aux RSSI souhaitant maîtriser les risques liés à la chaîne logicielle.
En savoir plus
L'analyse des dépendances open source, aussi appelée SCA (Software Composition Analysis), regroupe les solutions permettant d'identifier, analyser et suivre les composants open source intégrés dans les applications. Les applications modernes reposent massivement sur des bibliothèques, frameworks et composants tiers. Si ces éléments accélèrent le développement, ils introduisent également des risques de sécurité, de conformité et de maintenance, notamment lorsque des vulnérabilités sont découvertes dans des dépendances largement utilisées. Les outils SCA analysent les dépendances déclarées ou embarquées dans les applications afin de : • détecter les vulnérabilités connues (CVE), • identifier les versions obsolètes ou non maintenues, • suivre les licences open source et leurs contraintes juridiques, • alerter sur les risques introduits par des composants critiques. Ces solutions s'intègrent généralement aux environnements de développement et aux pipelines CI/CD, et constituent un pilier des démarches AppSec et DevSecOps, en apportant de la visibilité sur la chaîne logicielle. Sur CyberMarché, ce service regroupe les solutions permettant de cartographier, analyser et maîtriser les dépendances open source utilisées dans les applications.