BÊTA Shoulder est en bêta — Les résultats peuvent parfois être incorrects. Vos retours façonnent ce que nous corrigeons ensuite. Donner mon avis
Shoulder.dev

Renseignement sur les Menaces pour Développeurs

Vous detectez les erreurs de securite de l'IA avant qu'elles ne soient deployees.

Executez Shoulder localement pour voir les vraies vulnerabilites en secondes et les corriger avant qu'elles n'atteignent la production.

Nous en sommes aux débuts. Les résultats seront parfois incorrects. Vos retours façonnent ce que nous corrigeons ensuite.

Vous ne ralentissez pas. Vous gagnez en controle.

Essayer un dépôt public Installer Shoulder CLI
$ npm install -g @shoulderdev/cli
~/github.com/appsecco/dvna
$ shoulder trust
BASELINE: CRITICAL
30 routes analyzed · 7 reachable issues
/bulkproductslegacy — unsafe deserialization
req.files → serialize.unserialize()
Crafted payload may trigger code execution
/ping — command execution
req.body → exec()
Command execution on server
/bulkproducts — unsafe output
req.query → res.render()
Script execution in user browser
4 more issues · See full analysis →
Analyses réelles

Voir l'impact réel

Application Node.js vulnérable 30 routes analysées · 7 problèmes atteignables Ouvrir l'analyse Paquet malveillant Script d'installation, obfuscation et risque lié au mainteneur Ouvrir l'analyse Commit malveillant Chaîne de release compromise et chemin de code malveillant Ouvrir l'analyse

Verifiez une vulnerabilite ou analysez un depot GitHub

Collez un package, un CVE ou une URL GitHub

Alertes à plus haut risque
Alertes récentes dans l'écosystème
BÊTA

What you can scan in beta today

Shoulder is in active development. These are the languages and ecosystems we support right now — everything else is on the roadmap.

Languages
  • JavaScript
  • TypeScript
  • Python
  • Go
Ecosystems
  • npm
  • PyPI
  • Go modules
What we are confident in today
  • Detecting auth removal and route exposure changes in JavaScript / TypeScript
  • Showing source → sink data flows on supported routes
  • Catching packages with active malware or critical alerts on npm and PyPI before install
  • Flagging dormant packages that suddenly change maintainers, add install scripts, or pull in new transitive risk
  • Detecting capability changes — shell, network, env-var sweeps, dynamic eval — introduced in new versions
  • Resolving version specs (e.g. ^4.2.0) to the release that actually installs, then checking that release against ecosystem intel
  • Surfacing install scripts, obfuscation, account age, and maintainer-risk signals on each dependency
What we are still learning
  • Coverage outside web frameworks and HTTP routes

Working on something else?

We are expanding language and ecosystem coverage with our design partners. If your stack is not in the list, work with us directly to shape what comes next.

Become a design partner

L'IA augmente votre production. Elle augmente aussi votre risque.

L'IA augmente la production. Elle n'augmente pas la profondeur de la revue humaine. C'est dans cet écart que la confiance se casse.

Ce que voient les relecteurs
  • Un diff, une fonction renommée et un test qui passe
  • Quelques fichiers modifiés dans un système bien plus vaste
  • Du code qui paraît raisonnable isolément
Ce que Shoulder calcule
  • Voir quand une route privée devient publique
  • Savoir quand la couverture d'authentification baisse sur vos endpoints
  • Repérer les dépendances suspectes avant leur exécution
  • Tracer les entrées non fiables jusqu'aux bases de données, shells et eval

Moins de temps à deviner si un changement fait peur. Plus de certitude sur ce qu'il a réellement modifié.

Concu pour votre facon de travailler

Vous utilisez l'IA pour aller plus vite. L'IA peut serialiser sans validation, contourner les verifications d'authentification, introduire des chemins d'injection et utiliser une aleatoire faible. Shoulder detecte ce que l'IA manque pour que vous deployiez en confiance.

Diff
System Graph
Trust Delta
Enforcement
One change, one trust delta

Removed auth from an export endpoint

A small diff can quietly turn an admin-only action into a public attack path. This is the gap Shoulder closes.

Diff

app.post('/admin/export', exportData) replaces app.post('/admin/export', requireAuth, exportData).

System graph

The route loses its auth guard and becomes reachable from an unauthenticated request path.

Trust delta

Auth coverage drops and a previously protected data export becomes a new public capability.

Enforcement

Flag the change before merge, show the exact route affected, and block the release until access control is restored.

Vous ne révisez pas la sortie de l'IA.

Vous vérifiez ce qu'elle a réellement fait.

Intelligence de confiance de l'écosystème

Vérifiez n'importe quel paquet contre l'historique des mainteneurs, les anomalies de téléchargement, les scripts d'installation et les signaux de malware connus.

shoulder trust --ecosystem
$ shoulder trust --ecosystem
Checking dependency: @shoulderdev/malware-demo
Install scriptdetected
Obfuscated codedetected
Account age3 days
Ecosystem alertmalicious
⚠ Do not install
See full briefing →

Sachez ce que chaque changement a réellement fait.

Vous voyez les vulnerabilites dans votre code et vos dependances. Vous obtenez des conseils de remediation clairs.

Le code reste local
Analyse déterministe
Même résultat à chaque exécution
Fonctionne avec n'importe quel modèle ou auteur humain
Disponible via npm

Shoulder CLI

Vous voyez les vulnerabilites dans votre code et vos dependances. Vous obtenez des conseils de remediation clairs.

Installer CLI →
En ligne

Threat Centre

Vous recherchez n'importe quelle vulnerabilite, paquet ou CVE. Vous obtenez des preuves et des recommandations basees sur du code reel.

Explorer le Centre des Menaces →

La transparence cree la confiance

Vous pouvez lire comment Shoulder fonctionne avant de l'installer. Nous publions la logique de detection. Nous documentons chaque regle. Nous expliquons chaque decision.

Créé par l'équipe derrière Katacoda

Nous avons créé Katacoda, la plateforme d'apprentissage interactif utilisée par Red Hat, HashiCorp et Kubernetes, acquise par O'Reilly Media. Même équipe. Même approche : trouver le moment où les développeurs hésitent et supprimer l'incertitude.

Lire l'histoire complète → Lire le rapport de transparence

L'IA augmente la quantite de code que vous deployez. Shoulder augmente la quantite a laquelle vous pouvez faire confiance.

Lire le rapport de transparence →
Travaillez avec nous en tant que partenaire de conception

L'IA augmente la vitesse. Shoulder augmente le controle.

Installez le CLI. Commencez a scanner en secondes. Soyez le developpeur qui avance vite et reste securise.

npm install -g @shoulderdev/cli
Installer Shoulder CLI →
L'IA augmente la quantite de code que vous deployez. Shoulder augmente la quantite a laquelle vous pouvez faire confiance. Les binaires CLI sont verifies par checksum.