Détectez vulnérabilités et problèmes de performance, 100 % en local, zéro upload. Puis lancez herozion push pour retrouver l'historique, les tendances et les alertes dans votre dashboard.
Comment ça marche
Du CLI instantané au dashboard cloud. À votre rythme, sans compte obligatoire.
Une commande, herozion scan . — résultats en <8s. Aucun upload. Aucun compte.
$ herozion scan . 42 files in 0.85s Score: 72/100 (C) CRITICAL SQL injection HIGH Hardcoded secret
Créez un compte gratuit, exécutez herozion push et accédez à l'historique, aux tendances et aux rapports PDF.
Ajoutez des membres, connectez GitHub CI/CD, recevez des alertes et appliquez des fixes en 1 clic avec le plan Team.
Extension IDE
VS Code, Cursor, Antigravity ou Codex — vulnérabilités et corrections directement dans l'éditeur, via CodeLens, Problems et Security Findings. Pas de terminal. Rien dans le cloud.
Pour le score global et l'historique, exécutez herozion push et consultez votre dashboard.
Dashboard cloud
Créez un compte gratuit, lancez herozion push quand vous voulez partager. Dashboard en temps réel : historique, tendances, alertes e-mail, export PDF.
Langages supportés
Herozion analyse simultanément tous les langages présents dans votre projet, aucune configuration requise.
Tarifs
Analyse complète sur tous les plans, on bride la valeur, pas l'usage.
Sans compte · Sans friction
herozion scan, herozion login, herozion badgeLes 5 emplacements sont fixés à la première analyse de chaque projet. Résolvez-les pour débloquer l'analyse complète avec un plan payant.
Démarrer gratuitement$126/an, économisez 30%
Pour les développeurs solo
herozion push)--fail-on, --min-score)$490/an
Pour les équipes en production
Analyse locale sans compte sur tous les plans. À l'inscription : 14 jours premium offerts pour tester le cloud, l'historique et l'auto-fix.
Installation
Homebrew, npm/npx ou binaire direct. Le guide d'installation couvre chaque méthode pas à pas.
Documentation complète →FAQ
brew update && brew upgrade herozion.--verbose pour voir en temps réel la liste de chaque fichier analysé : herozion scan . --verbose. Vous verrez exactement ce qui est parcouru, rien de plus.npx herozion scan ., le binaire s'exécute dans node_modules/, sans toucher au PATH ou aux variables système.Catégories d'analyse
Broken Object Level Authorization, accès direct aux objets sans vérification
Mots de passe en dur, tokens statiques, secrets exposés
Broken Function Level Authorization, endpoints admin non protégés
Données utilisateur passées directement aux modèles sans filtrage
SQL injection, command injection, XSS, eval() dangereux
Endpoints sans limitation de débit, exposition aux attaques brute force
DEBUG = False, SECRET_KEY exposée, CORS permissif
Sérialisation complète d'objets, champs sensibles exposés en réponse
Confidentialité
Le traitement des fichiers est local. Votre dépôt complet n'est jamais envoyé.
Ce que Herozion fait
~/.herozion/
--encrypt-output (votre propre clé)
Ce que Herozion ne fait jamais
herozion push
herozion push)
herozion push (opt-in)Envoie score, catégories, chemins de fichiers et extraits de lignes autour des findings, jamais votre dépôt complet.
herozion push
Pour vérifier exactement quels fichiers sont lus, utilisez herozion scan . --verbose.
Performance
Moteur parallélisé : de ~79 s à moins de 8 s sur des projets réels.