베타 Shoulder는 베타 버전입니다 — 결과가 가끔 잘못될 수 있습니다. 여러분의 피드백이 다음에 무엇을 고칠지 결정합니다. 피드백 공유

당신은 AI 보안 실수를 배포 전에 잡아냅니다.

Shoulder를 로컬에서 실행하면 몇 초 만에 실제 취약점을 확인하고 프로덕션에 도달하기 전에 수정할 수 있습니다.

저희는 아직 초기 단계입니다. 결과가 가끔 잘못될 수 있습니다. 여러분의 피드백이 다음에 무엇을 고칠지 결정합니다.

당신은 속도를 늦추지 않는다. 통제력을 얻는다.

공개 저장소 사용해보기 → Shoulder CLI 설치 →

$ npm install -g @shoulderdev/cli

~/github.com/appsecco/dvna

$ shoulder trust

BASELINE: CRITICAL

30 routes analyzed · 7 reachable issues

/bulkproductslegacy — unsafe deserialization

req.files → serialize.unserialize()

Crafted payload may trigger code execution

/ping — command execution

req.body → exec()

Command execution on server

/bulkproducts — unsafe output

req.query → res.render()

Script execution in user browser

4 more issues · See full analysis →

실제 분석

실제 영향을 보기

취약한 Node.js 앱 30개 라우트 분석 · 도달 가능한 이슈 7개 분석 열기 → 악성 패키지 설치 스크립트, 난독화, 메인터이너 리스크 분석 열기 → 악성 커밋 손상된 릴리스 흐름과 악성 코드 경로 분석 열기 →

취약점을 확인하거나 GitHub 저장소를 스캔하세요

패키지, CVE 또는 GitHub URL을 붙여넣으세요

▲ 최고 위험 알림

에코시스템 전체의 최근 알림

베타

What you can scan in beta today

Shoulder is in active development. These are the languages and ecosystems we support right now — everything else is on the roadmap.

Languages

JavaScript
TypeScript
Python
Go

Ecosystems

npm
PyPI
Go modules

What we are confident in today

Detecting auth removal and route exposure changes in JavaScript / TypeScript
Showing source → sink data flows on supported routes
Catching packages with active malware or critical alerts on npm and PyPI before install
Flagging dormant packages that suddenly change maintainers, add install scripts, or pull in new transitive risk
Detecting capability changes — shell, network, env-var sweeps, dynamic eval — introduced in new versions
Resolving version specs (e.g. ^4.2.0) to the release that actually installs, then checking that release against ecosystem intel
Surfacing install scripts, obfuscation, account age, and maintainer-risk signals on each dependency

What we are still learning

Coverage outside web frameworks and HTTP routes

Working on something else?

We are expanding language and ecosystem coverage with our design partners. If your stack is not in the list, work with us directly to shape what comes next.

Become a design partner →

AI는 당신의 산출량을 높인다. 리스크도 높인다.

AI는 산출량을 늘리지만 인간 리뷰의 깊이를 늘리지는 않습니다. 신뢰는 바로 그 틈에서 무너집니다.

리뷰어가 보는 것

diff, 이름이 바뀐 함수, 그리고 통과한 테스트
훨씬 더 큰 시스템 안에서 바뀐 몇 개의 파일
떼어 놓고 보면 그럴듯해 보이는 코드

Shoulder가 계산하는 것

비공개 라우트가 공개 라우트로 바뀌는 순간을 본다
엔드포인트 전반의 인증 커버리지가 떨어질 때를 안다
의심스러운 의존성을 실행 전에 잡아낸다
신뢰할 수 없는 입력을 데이터베이스, 셸, eval까지 추적한다

변경이 무서운지 추측하는 시간은 줄이고, 실제로 무엇이 바뀌었는지는 더 확실하게 알 수 있습니다.

실제 작업 방식에 맞게 설계

당신은 AI로 더 빠르게 움직입니다. AI는 검증 없이 직렬화하고, 인증 검사를 우회하고, 인젝션 경로를 도입하고, 약한 난수를 사용할 수 있습니다. Shoulder는 AI가 놓치는 것을 잡아내어 자신감 있게 배포할 수 있게 합니다.

Diff

System Graph

Trust Delta

Enforcement

One change, one trust delta

Removed auth from an export endpoint

A small diff can quietly turn an admin-only action into a public attack path. This is the gap Shoulder closes.

Diff

app.post('/admin/export', exportData) replaces app.post('/admin/export', requireAuth, exportData).

System graph

The route loses its auth guard and becomes reachable from an unauthenticated request path.

Trust delta

Auth coverage drops and a previously protected data export becomes a new public capability.

Enforcement

Flag the change before merge, show the exact route affected, and block the release until access control is restored.

AI의 출력을 검토하는 것이 아닙니다.

실제로 무엇을 했는지 확인하는 것입니다.

에코시스템 신뢰 인텔리전스

유지관리자 이력, 다운로드 이상, 설치 스크립트, 알려진 악성코드 신호에 대해 모든 패키지를 확인하세요.

shoulder trust --ecosystem

$ shoulder trust --ecosystem

Checking dependency: @shoulderdev/malware-demo

Install scriptdetected

Obfuscated codedetected

Account age3 days

Ecosystem alertmalicious

⚠ Do not install

See full briefing →

모든 변경이 실제로 무엇을 했는지 알아보세요.

당신은 코드와 의존성의 취약점을 확인합니다. 명확한 수정 가이드를 받습니다.

코드는 로컬에 유지됩니다

결정론적 분석

매번 같은 결과

모든 모델 또는 인간 작성자와 함께 작동

npm으로 사용 가능

Shoulder CLI

당신은 코드와 의존성의 취약점을 확인합니다. 명확한 수정 가이드를 받습니다.

Threat Centre

당신은 모든 취약점, 패키지, CVE를 조회합니다. 실제 코드에 기반한 증거와 가이드를 받습니다.

투명성이 신뢰를 만든다

설치 전에 Shoulder가 어떻게 작동하는지 읽을 수 있습니다. 탐지 로직을 공개합니다. 모든 규칙을 문서화합니다. 모든 결정을 설명합니다.

Katacoda 팀이 만든

Red Hat, HashiCorp, Kubernetes가 사용하고 O'Reilly Media에 인수된 인터랙티브 학습 플랫폼 Katacoda를 만들었습니다. 같은 팀. 같은 접근 방식: 개발자가 주저하는 순간을 찾아 불확실성을 제거합니다.

전체 이야기 읽기 → 투명성 보고서 읽기

AI는 당신이 배포하는 코드의 양을 늘린다. Shoulder는 당신이 신뢰할 수 있는 양을 늘린다.

투명성 보고서 읽기 →

디자인 파트너로 저희와 함께 일하세요 →

AI는 속도를 높인다. Shoulder는 통제력을 높인다.

CLI를 설치하세요. 몇 초 만에 스캔을 시작하세요. 빠르게 움직이면서 보안을 유지하는 개발자가 되세요.

npm install -g @shoulderdev/cli

Shoulder CLI 설치 →

AI는 당신이 배포하는 코드의 양을 늘린다. Shoulder는 당신이 신뢰할 수 있는 양을 늘린다. CLI 바이너리는 체크섬으로 검증됩니다.