C’est le revers de la médaille de la productivité. Si les développeurs équipés d’IA (GitHub Copilot, Cursor, Gemini) produisent du code trois à quatre fois plus vite, des recherches récentes montrent qu’ils génèrent aussi dix fois plus de problèmes de sécurité. Pour endiguer cette vague de code vulnérable, Black Duck a dévoilé une nouvelle arme, Signal. Elle n’est pas (encore) open source, mais s’appuie sur MCP, un standard ouvert. Présentation.
Black Duck Signal (à ne pas confondre avec la messagerie) est une solution de sécurité « agentique » (autonome) conçue pour combattre le feu par le feu. L’idée est simple : utiliser une IA spécialisée pour surveiller, détecter et corriger les erreurs de l’IA générative en temps réel. Pour l’instant, la solution n’est pas open source, même si l’éditeur fait appel à de nombreuses solutions open source pour ses offres.
L’alliance du LLM et de 20 ans de données
Contrairement aux outils d’analyse statique classiques (SAST) souvent trop lents ou bruyants pour le rythme effréné du développement actuel, Signal mise sur une approche hybride. La plateforme combine la puissance d’analyse des grands modèles de langage (LLM) avec la Black Duck KnowledgeBase, une base de données colossale accumulant deux décennies de vulnérabilités étiquetées par des humains. Cette combinaison permet de réduire les hallunications (et les faux positifs), mais aussi détecter des failles logiques et proposer des correctifs automatisés (et vérifiés, directement intégrables par le développeur).
« Signal est le premier produit […] à combiner l’analyse de code basée sur les LLM avec des pétaoctets de données de sécurité », résume Jason Schmitt, PDG de Black Duck, sur le blog de l’entreprise.
Techniquement, Black Duck frappe fort en s’appuyant sur le Model Context Protocol (MCP), le nouveau standard open source ouvert introduit par Anthropic. Cela signifie que Signal ne demande pas aux développeurs de changer d’outils. Il s’intègre nativement aux assistants les plus populaires du marché : Google Gemini, GitHub Copilot, Claude Code et Cursor. L’analyse de sécurité se fait donc directement dans le flux de travail, de manière incrémentale, au fur et à mesure que le code est écrit.
Redevenue une entreprise indépendante depuis septembre 2024 (suite à sa séparation de Synopsys), Black Duck positionne Signal comme la brique manquante du développement moderne. L’outil est disponible dès maintenant pour les clients existants, avec une disponibilité générale prévue pour début 2026.
