BETA Shoulder ist in der Beta — Befunde können manchmal falsch sein. Dein Feedback bestimmt, was wir als Nächstes beheben. Feedback teilen
Shoulder.dev

Bedrohungsintelligenz für Entwickler

Du erkennst KI-Sicherheitsfehler, bevor sie live gehen.

Führe Shoulder lokal aus, um echte Schwachstellen in Sekunden zu sehen und sie zu beheben, bevor sie in Produktion landen.

Wir sind in einer frühen Phase. Befunde werden manchmal falsch sein. Dein Feedback bestimmt, was wir als Nächstes beheben.

Du wirst nicht langsamer. Du gewinnst Kontrolle.

Ein öffentliches Repo testen Shoulder CLI installieren
$ npm install -g @shoulderdev/cli
~/github.com/appsecco/dvna
$ shoulder trust
BASELINE: CRITICAL
30 routes analyzed · 7 reachable issues
/bulkproductslegacy — unsafe deserialization
req.files → serialize.unserialize()
Crafted payload may trigger code execution
/ping — command execution
req.body → exec()
Command execution on server
/bulkproducts — unsafe output
req.query → res.render()
Script execution in user browser
4 more issues · See full analysis →
Reale Analysen

Echte Auswirkungen sehen

Verwundbare Node.js-App 30 Routen analysiert · 7 erreichbare Probleme Analyse öffnen Bösartiges Paket Install-Skript, Verschleierung und Maintainer-Risiko Analyse öffnen Bösartiger Commit Kompromittierter Release-Flow und bösartiger Codepfad Analyse öffnen

Prufe eine Schwachstelle oder scanne ein GitHub-Repo

Fuge ein Paket, eine CVE oder eine GitHub-URL ein

Warnungen mit höchstem Risiko
Aktuelle Warnungen im Ökosystem
BETA

What you can scan in beta today

Shoulder is in active development. These are the languages and ecosystems we support right now — everything else is on the roadmap.

Languages
  • JavaScript
  • TypeScript
  • Python
  • Go
Ecosystems
  • npm
  • PyPI
  • Go modules
What we are confident in today
  • Detecting auth removal and route exposure changes in JavaScript / TypeScript
  • Showing source → sink data flows on supported routes
  • Catching packages with active malware or critical alerts on npm and PyPI before install
  • Flagging dormant packages that suddenly change maintainers, add install scripts, or pull in new transitive risk
  • Detecting capability changes — shell, network, env-var sweeps, dynamic eval — introduced in new versions
  • Resolving version specs (e.g. ^4.2.0) to the release that actually installs, then checking that release against ecosystem intel
  • Surfacing install scripts, obfuscation, account age, and maintainer-risk signals on each dependency
What we are still learning
  • Coverage outside web frameworks and HTTP routes

Working on something else?

We are expanding language and ecosystem coverage with our design partners. If your stack is not in the list, work with us directly to shape what comes next.

Become a design partner

KI steigert deinen Output. Sie steigert auch dein Risiko.

KI erhöht den Output. Sie erhöht nicht die Tiefe menschlicher Reviews. In dieser Lücke bricht Vertrauen.

Was Reviewer sehen
  • Einen Diff, eine umbenannte Funktion und einen grünen Test
  • Ein paar geänderte Dateien in einem viel größeren System
  • Code, der isoliert betrachtet vernünftig wirkt
Was Shoulder berechnet
  • Sehen, wenn eine private Route öffentlich wird
  • Erkennen, wenn die Auth-Abdeckung über deine Endpoints sinkt
  • Verdächtige Abhängigkeiten erkennen, bevor sie ausgeführt werden
  • Nicht vertrauenswürdige Eingaben bis zu Datenbanken, Shells und eval nachverfolgen

Weniger Zeit mit Rätseln, ob eine Änderung gefährlich ist. Mehr Gewissheit darüber, was sie tatsächlich verändert hat.

Gebaut für deine tatsächliche Arbeitsweise

Du nutzt KI, um schneller zu sein. KI kann ohne Validierung serialisieren, Auth-Prüfungen umgehen, Injection-Pfade einführen und schwache Zufallswerte verwenden. Shoulder erkennt, was KI übersieht, damit du mit Vertrauen auslieferst.

Diff
System Graph
Trust Delta
Enforcement
One change, one trust delta

Removed auth from an export endpoint

A small diff can quietly turn an admin-only action into a public attack path. This is the gap Shoulder closes.

Diff

app.post('/admin/export', exportData) replaces app.post('/admin/export', requireAuth, exportData).

System graph

The route loses its auth guard and becomes reachable from an unauthenticated request path.

Trust delta

Auth coverage drops and a previously protected data export becomes a new public capability.

Enforcement

Flag the change before merge, show the exact route affected, and block the release until access control is restored.

Du überprüfst nicht den Output der KI.

Du verifizierst, was sie tatsächlich gemacht hat.

Ökosystem-Vertrauensintelligenz

Überprüfe jedes Paket gegen Maintainer-Historie, Download-Anomalien, Install-Skripte und bekannte Malware-Signale.

shoulder trust --ecosystem
$ shoulder trust --ecosystem
Checking dependency: @shoulderdev/malware-demo
Install scriptdetected
Obfuscated codedetected
Account age3 days
Ecosystem alertmalicious
⚠ Do not install
See full briefing →

Wisse, was jede Änderung wirklich bewirkt hat.

Du siehst Schwachstellen in deinem Code und deinen Abhängigkeiten. Du bekommst klare Behebungshinweise.

Code bleibt lokal
Deterministische Analyse
Gleiches Ergebnis bei jedem Lauf
Funktioniert mit jedem Modell oder menschlichen Autor
Verfügbar über npm

Shoulder CLI

Du siehst Schwachstellen in deinem Code und deinen Abhängigkeiten. Du bekommst klare Behebungshinweise.

CLI installieren →
Live

Threat Centre

Du suchst jede Schwachstelle, jedes Paket oder CVE nach. Du bekommst Belege und Empfehlungen basierend auf echtem Code.

Bedrohungszentrum erkunden →

Transparenz schafft Vertrauen

Du kannst nachlesen, wie Shoulder funktioniert, bevor du es installierst. Wir veröffentlichen die Erkennungslogik. Wir dokumentieren jede Regel. Wir erklären jede Entscheidung.

Erstellt vom Team hinter Katacoda

Wir haben Katacoda gebaut, die interaktive Lernplattform genutzt von Red Hat, HashiCorp und Kubernetes, übernommen von O'Reilly Media. Gleiches Team. Gleicher Ansatz: den Moment finden, in dem Entwickler zögern, und die Unsicherheit beseitigen.

Die ganze Geschichte lesen → Transparenzbericht lesen

KI steigert die Menge an Code, die du auslieferst. Shoulder steigert die Menge, der du vertrauen kannst.

Transparenzbericht lesen →
Arbeite mit uns als Design-Partner zusammen

KI erhöht die Geschwindigkeit. Shoulder erhöht die Kontrolle.

Installiere das CLI. Starte den Scan in Sekunden. Sei der Entwickler, der schnell vorankommt und sicher bleibt.

npm install -g @shoulderdev/cli
Shoulder CLI installieren →
KI steigert die Menge an Code, die du auslieferst. Shoulder steigert die Menge, der du vertrauen kannst. CLI-Binärdateien sind prüfsummenverifiziert.