Cette page décrit les flux web et CI observés dans le produit au 31 mars 2026, avec les tiers éventuels et les durées de rétention techniquement vérifiables dans le code.
CoreDevPro a été conçu selon un principe de minimisation des données et de non-persistance du code source.
Le moteur principal d’analyse s’exécute sur l’infrastructure CoreDevPro. Certains contrôles ciblés peuvent toutefois contacter des services externes avec des données limitées et documentées.
L’objectif est de garantir un traitement contrôlé, isolé et limité au strict nécessaire.
Le service est hébergé sur une infrastructure administrée en interne, localisée en Allemagne.
Les environnements de production sont configurés pour :
Les fichiers uploadés ne sont pas archivés dans le flux standard. Les rapports web ne sont conservés que pour une courte fenêtre de restitution, puis purgés après livraison réussie ou par TTL de secours. Des TTL techniques bornés subsistent pour la file d’attente, les logs et certains caches applicatifs.
Le flux applicatif standard :
Les rapports temporaires sont automatiquement expurgés de tout extrait source, puis supprimés côté serveur après restitution réussie ou expiration du TTL de secours.
Les journaux techniques incluent uniquement :
Le contenu du code source n’est pas journalisé.
Rotation des logs : 7 jours. Logs CI anonymisés conservés jusqu’à 90 jours.
CoreDevPro peut proposer une fonctionnalité facultative de synthèse avancée.
Cette fonctionnalité :
Le tableau ci-dessous couvre les flux externes observés dans le code. Le scan principal du code source n’est pas délégué à ces services.
| Service / destination | Données transmises | Finalité | Déclenchement |
|---|---|---|---|
| Eve / service externe d'intelligence artificielle | Version expurgée du rapport CoreDevPro et métadonnées techniques limitées, jamais le code source brut | Synthèse post-analyse optionnelle | Uniquement si l’utilisateur lance Eve sur un rapport et confirme son consentement |
| OSV API | Noms et versions de dependances ou contenu SBOM, sans envoi direct du code source | Recherche de vulnérabilités connues sur les dépendances | Lors des contrôles de dépendances et de vulnérabilités |
| Stripe | Données de paiement et de souscription nécessaires à la facturation | Paiements, abonnements et webhooks de facturation | Uniquement lors des achats, renouvellements et mises à jour de facturation |
| SMTP / fournisseur e-mail | Adresse e-mail et contenu opérationnel des messages (reset, licence, support) | Envoi d’e-mails transactionnels | Uniquement pour les flux compte, licence et support |
| Fournisseur SCM (selon le flux configuré) | URL de dépôt et éventuel jeton de lecture seule | Clonage CI/SCM en lecture seule | Uniquement en mode SCM ou CI à la demande |
| Actifs front tiers chargés par le navigateur | Requêtes navigateur vers polices, bibliothèques ou drapeaux selon la page | Rendu de l’interface publique | Selon la page consultée et les assets activés côté client |
Ces valeurs correspondent aux bornes techniques observées dans le code. Elles sont plus courtes en pratique lorsqu’un rapport est affiché ou téléchargé avec succès, car une purge serveur explicite est déclenchée.
| Catégorie | Durée ou borne | Notes |
|---|---|---|
| Projet uploadé et répertoire temporaire | Nettoyage en fin de job + balayage de secours jusqu’à 12 h max | Pas d’archivage du code source dans le flux standard |
| Rapports web en attente / restitution | Jusqu’à 10 min par défaut | Purgés dès affichage ou téléchargement réussi ; fenêtre conservée seulement pour la reprise après navigation ou incident réseau |
| Artefacts finaux de rapport sur disque | Purge après restitution réussie + balayage de secours court | Artefacts temporaires expurgés, sans vocation de stockage durable côté service |
| File d’attente des scans | 30 min par défaut pour un job en attente | Entrées expirées automatiquement |
| Logs applicatifs | 7 jours | Métadonnées opérationnelles, pas de contenu brut du code |
| Journal d’usage CI | Jusqu’à 90 jours avec anonymisation IP | Fichier borné en nombre d’entrées et en taille |
| Session web et jetons de reset | Cookie de session : 14 jours ; reset mot de passe : 1 h | Durées distinctes selon le flux d’authentification |
| Cache OSV (métadonnées dépendances) | Cache borné en nombre de clés, sans TTL d’âge explicite | Ne contient pas le code source |
| Navigateur utilisateur | Préférences UI selon le navigateur ; pas de persistance locale standard de l’historique Eve ni du rapport envoyé à Eve | Peut conserver thème, langue, position du widget ou préférences d’affichage |
Des mécanismes de contrôle et de vérification peuvent être démontrés lors d’un audit technique (ex. validation de l’isolation mémoire, tests de non-persistance).
Une déclinaison on-premise est en cours de planification pour les environnements exigeant un traitement intégralement interne.