ベータ Shoulder はベータ版です — 結果が誤っている場合があります。皆さまのフィードバックが次に修正する内容を決定します。 フィードバックを送る
Shoulder.dev

開発者向け脅威インテリジェンス

あなたはAIのセキュリティミスを出荷前にキャッチします。

Shoulderをローカルで実行すれば、数秒で実際の脆弱性を確認し、本番環境に届く前に修正できます。

私たちはまだ初期段階です。結果が誤っていることがあります。皆さまのフィードバックが次に修正する内容を決定します。

あなたはスピードを落とさない。コントロールを手に入れる。

公開リポジトリを試す Shoulder CLIをインストール
$ npm install -g @shoulderdev/cli
~/github.com/appsecco/dvna
$ shoulder trust
BASELINE: CRITICAL
30 routes analyzed · 7 reachable issues
/bulkproductslegacy — unsafe deserialization
req.files → serialize.unserialize()
Crafted payload may trigger code execution
/ping — command execution
req.body → exec()
Command execution on server
/bulkproducts — unsafe output
req.query → res.render()
Script execution in user browser
4 more issues · See full analysis →
実際の分析

実際の影響を見る

脆弱なNode.jsアプリ 30ルートを解析 ・ 到達可能な問題7件 分析を開く 悪意のあるパッケージ インストールスクリプト、難読化、メンテナーリスク 分析を開く 悪意のあるコミット 侵害されたリリースフローと悪意あるコード経路 分析を開く

脆弱性を確認するか、GitHub リポジトリをスキャン

パッケージ、CVE、または GitHub URL を貼り付け

最高リスクアラート
エコシステム全体の最近のアラート
ベータ

What you can scan in beta today

Shoulder is in active development. These are the languages and ecosystems we support right now — everything else is on the roadmap.

Languages
  • JavaScript
  • TypeScript
  • Python
  • Go
Ecosystems
  • npm
  • PyPI
  • Go modules
What we are confident in today
  • Detecting auth removal and route exposure changes in JavaScript / TypeScript
  • Showing source → sink data flows on supported routes
  • Catching packages with active malware or critical alerts on npm and PyPI before install
  • Flagging dormant packages that suddenly change maintainers, add install scripts, or pull in new transitive risk
  • Detecting capability changes — shell, network, env-var sweeps, dynamic eval — introduced in new versions
  • Resolving version specs (e.g. ^4.2.0) to the release that actually installs, then checking that release against ecosystem intel
  • Surfacing install scripts, obfuscation, account age, and maintainer-risk signals on each dependency
What we are still learning
  • Coverage outside web frameworks and HTTP routes

Working on something else?

We are expanding language and ecosystem coverage with our design partners. If your stack is not in the list, work with us directly to shape what comes next.

Become a design partner

AIはあなたのアウトプットを増やす。リスクも増やす。

AI は出力を増やします。人間のレビューの深さは増やしません。そのギャップで信頼が崩れます。

レビュー担当者に見えるもの
  • 差分、名前が変わった関数、通ったテスト
  • はるかに大きなシステムの中で変更された数ファイル
  • 単体ではもっともらしく見えるコード
Shoulder が計算するもの
  • 非公開ルートが公開化した瞬間を把握する
  • エンドポイント全体で認証カバレッジが下がったときに気づく
  • 疑わしい依存関係を実行前に捕まえる
  • 信頼できない入力をデータベース、shell、eval まで追跡する

変更が怖いものかを推測する時間を減らし、実際に何が変わったのかをより確実に把握できます。

実際の働き方に合わせて設計

あなたはAIで速く動く。AIはバリデーションなしのシリアライズ、認証チェックの回避、インジェクションパスの導入、弱い乱数の使用をする可能性がある。ShoulderはAIが見落とすものをキャッチし、自信を持って出荷できる。

Diff
System Graph
Trust Delta
Enforcement
One change, one trust delta

Removed auth from an export endpoint

A small diff can quietly turn an admin-only action into a public attack path. This is the gap Shoulder closes.

Diff

app.post('/admin/export', exportData) replaces app.post('/admin/export', requireAuth, exportData).

System graph

The route loses its auth guard and becomes reachable from an unauthenticated request path.

Trust delta

Auth coverage drops and a previously protected data export becomes a new public capability.

Enforcement

Flag the change before merge, show the exact route affected, and block the release until access control is restored.

AIの出力をレビューするのではありません。

実際に何をしたかを検証するのです。

エコシステム信頼インテリジェンス

メンテナーの履歴、ダウンロード異常、インストールスクリプト、既知のマルウェアシグナルに対して任意のパッケージを検証できます。

shoulder trust --ecosystem
$ shoulder trust --ecosystem
Checking dependency: @shoulderdev/malware-demo
Install scriptdetected
Obfuscated codedetected
Account age3 days
Ecosystem alertmalicious
⚠ Do not install
See full briefing →

すべての変更が実際に何をしたかを知る。

あなたはコードと依存関係の脆弱性を確認する。明確な修正ガイダンスを得られる。

コードはローカルに留まる
決定論的分析
毎回同じ結果
どんなモデルや人間の作者とも連携
npmで利用可能

Shoulder CLI

あなたはコードと依存関係の脆弱性を確認する。明確な修正ガイダンスを得られる。

CLIをインストール →
稼働中

Threat Centre

あなたはあらゆる脆弱性、パッケージ、CVEを調べられる。実際のコードに基づいた証拠とガイダンスを得られる。

脅威センターを探索 →

透明性が信頼を築く

インストール前にShoulderの仕組みを読むことができます。検出ロジックを公開しています。すべてのルールを文書化しています。すべての判断を説明しています。

Katacodaの開発チームが作成

Red Hat、HashiCorp、KubernetesなどのインタラクティブCDラーニングプラットフォームKatacodaを構築し、O'Reilly Mediaに買収されました。同じチーム。同じアプローチ:開発者が躊躇する瞬間を見つけ、不確実性を排除する。

全ストーリーを読む → 透明性レポートを読む

AIはあなたが出荷するコードの量を増やす。Shoulderはあなたが信頼できる量を増やす。

透明性レポートを読む →
デザインパートナーとして私たちと協力する

AIはスピードを上げる。Shoulderはコントロールを上げる。

CLIをインストール。数秒でスキャン開始。速く動きながらセキュアでいられる開発者になろう。

npm install -g @shoulderdev/cli
Shoulder CLIをインストール →
AIはあなたが出荷するコードの量を増やす。Shoulderはあなたが信頼できる量を増やす。 CLIバイナリはチェックサムで検証済みです。