Le produit
Dhal est un pare-feu applicatif web open source, natif de l’application, ainsi qu’un middleware de sécurité des requêtes pour Node.js. Il s’exécute dans le chemin de la requête, où le contexte de route, d’identité, de corps, de réponse et d’exploitation est disponible.
Il est conçu pour compléter les contrôles de périphérie, CDN, réseau, authentification, autorisation, validation et infrastructure, et non pour les remplacer.
Le problème d’ingénierie
Les couches de sécurité externes peuvent bloquer de larges catégories de trafic malveillant, mais elles manquent souvent du contexte nécessaire pour distinguer une route, un utilisateur, un tenant, une clé API, un corps de requête ou une action métier d’une autre.
Dhal rapproche les contrôles déterministes de l’application tout en conservant un modèle de déploiement qui commence en supervision et une preuve de production pour chaque décision d’application.
Capacités principales
- Intégrations Express, Fastify,
node:httpbrut et moteur central. - Politiques et modes d’exploitation conscients des routes.
- Contrôles IP, réputation, limitation de débit et compteurs partagés Redis ou Valkey.
- Contrôles contre l’injection SQL, XSS, traversal, SSRF, RCE, SSTI, les sondes et les risques de sécurité des API.
- Détection des bots, de l’automatisation, des honeypots et du credential stuffing.
- Application tenant compte de l’identité via le contexte utilisateur, tenant, route, IP et clé API.
- Événements structurés, télémétrie signée, intégration OpenTelemetry et tests de rejeu.
- Diagnostics, contrôles de préparation, métadonnées de compatibilité, SBOM et artefacts de version.
Adoption contrôlée
Dhal démarre en toute sécurité en mode supervision. Les équipes peuvent examiner les décisions wouldBlock, ajuster les profils de routes et les suppressions, valider la latence et les faux positifs, puis activer le blocage de manière sélective sur les routes les plus risquées.
Cette approche rend le déploiement de la sécurité observable et réversible, au lieu d’imposer un basculement immédiat tout ou rien.
Version v1 stable
La version publique v1 a établi un contrat de compatibilité figé, des contrôles de cycle de vie, des magasins distribués, des diagnostics, une télémétrie signée, des artefacts de chaîne d’approvisionnement et une documentation de production.
La feuille de route se poursuit avec des adaptateurs supplémentaires, l’inspection OpenAPI, des budgets de ressources, des ensembles de règles, des métriques, la résilience Redis et des capacités optionnelles connectées au cloud.
Rôle au sein de Rokad
Dhal est à la fois un produit public de sécurité maintenu et une expression concrète des capacités de Rokad en sécurité applicative, Node.js, observabilité, DevSecOps et ingénierie de production.