Vercel a publié un advisory de sécurité pour Next.js. Notre site tournait sur une version vulnérable. Voici comment on a patché avec notre assistant IA.
Le contexte
Version en production : Next.js 15.4.1
Version patchée : Next.js 15.5.7
Type de vulnérabilité : Middleware handling (détails non publics au moment du patch)
Les CVE critiques sur les frameworks populaires sont exploitées rapidement. Le temps entre la publication et les premiers exploits se compte en heures.
Le processus avec l'IA
Instruction envoyée :
"CVE critique Next.js. Version actuelle 15.4.1, vulnérable. Patch vers 15.5.7."
Ce que l'IA a fait (47 secondes) :
Ce que j'ai fait (2 minutes) :
Pourquoi le review humain est non-négociable
L'IA aurait pu push directement. On ne le fait pas.
Raisons :
L'IA n'est pas de l'automatisation aveugle. C'est de l'augmentation : l'IA fait le travail mécanique, l'humain valide les décisions.
Dans ce cas précis, le risque était faible (patch mineur, même major version). Mais la discipline reste.
Workflow recommandé pour les patchs de sécurité
1. Évaluer la criticité
CVE score, type d'exploit, surface d'attaque. Un middleware vuln sur un site public = urgent.
2. Vérifier la compatibilité
Lire les release notes. Chercher les breaking changes. Tester en local si possible.
3. Patcher
Laisser l'IA faire la modification + build + test.
4. Review
Humain vérifie le diff, les logs, le comportement.
5. Deploy progressif
Si possible, canary deployment. Sinon, monitoring accru post-deploy.
Ce qu'il faut retenir
- -Les CVE critiques se mesurent en heures, pas en jours.
- -L'IA peut patcher en secondes. Le review humain prend 2 minutes. Total : 3 minutes.
- -Toujours vérifier le diff, même pour un changement de version.
- -IA pour le mécanique, humain pour les décisions.