v1.1.40 · Windows · Linux · macOS

Scannez en local.
Pilotez dans le cloud.

Détectez vos failles de sécurité et vos lenteurs en 8 secondes, 100 % en local. Passez à herozion push pour activer l'historique, les alertes et votre dashboard cloud.

Installer le CLI Créer un compte gratuit →

Déjà utilisé par des développeurs sur 3 continents · 100 % local · zéro upload

bash — herozion scan .
26 Catégories d'analyse
100% Analyse locale
3 Plateformes supportées
A–F Score de sécurité

Comment ça marche

Scanner. Visualiser. Corriger en équipe.

Herozion s'adapte à votre rythme — CLI instantané sans compte, dashboard cloud quand vous en avez besoin.

1

Scanner en local

Installez le CLI et lancez herozion scan . — résultats en <8s, aucun upload, aucun compte requis.

$ herozion scan .
✅ 42 files in 0.85s
Score: 72/100 (C)
CRITICAL SQL injection
HIGH     Hardcoded secret
2

Voir le dashboard

Créez un compte gratuit, exécutez herozion push et accédez à l'historique, aux tendances et aux rapports PDF.

72 C
▲ +8 pts vs last scan 14 scans / 30 days
3

Travailler en équipe

Ajoutez des membres, connectez GitHub CI/CD, recevez des alertes et appliquez des fixes en 1 clic avec le plan Team.

KK LM RP CI/CD GitHub • Auto-fix
Installer le CLI → Créer un compte gratuit →
Scan complet en < 8s en moyenne. ×10 plus rapide qu'avant — 350 fichiers analysés en moins de 4 secondes.
Essayer maintenant

Dashboard cloud

Scannez en local. Visualisez dans le cloud.

Créez un compte gratuit, exécutez herozion push après chaque scan. Votre dashboard se met à jour en temps réel — historique, tendances, alertes e-mail, export PDF.

🔒 app.herozion.io
Ouvrir mon dashboard → Compte gratuit · Aucune carte bancaire

Fonctionnalités

Tout ce dont vous avez besoin.
Rien de superflu.

🔍

26 catégories OWASP

SQL injection, XSS, secrets exposés, CORS, dépendances vulnérables — détectés en une seule commande.

📦

Zéro dépendance

Un seul binaire. Aucun Python, Node.js ou runtime. Installé en 30 secondes, scanner en 8.

☁️

Dashboard cloud

Historique de scans, tendances de score, alertes email et export PDF — visibles depuis n'importe où.

Auto-fix

Snippet de correction généré pour chaque vulnérabilité. Patch en 1 clic sur le plan Team.

Langages supportés

9 langages.
Votre stack couvert.

Herozion analyse simultanément tous les langages présents dans votre projet — aucune configuration requise.

Python
Python .py
JavaScript / TypeScript
JavaScript / TypeScript .js  .ts  .jsx  .tsx
Java
Java .java
Go
Go .go
Ruby
Ruby .rb
PHP
PHP .php
C#
C# .cs
Rust
Rust .rs

Ils utilisent Herozion

★★★★★

« Herozion a détecté une injection SQL critique dans notre API que nos code reviews avaient ratée. Le dashboard nous permet de suivre la progression semaine par semaine. »

TK
Thomas K.
Fondateur, SaaS B2B
★★★★★

« J'utilise herozion push après chaque feature. L'historique me montre exactement quand mon score a baissé et pourquoi. Indispensable. »

LM
Léa M.
Dev solo, application mobile
★★★★★

« Notre pipeline CI/CD bloque maintenant si le score tombe sous 70. Zéro vulnérabilité critique en production depuis 2 mois. »

RP
Rodrigo P.
CTO, startup fintech

Tarifs

Simple. Transparent.
Pas de surprise.

Scan complet sur tous les plans — on bride la valeur, pas l'usage.

Free

$0/mois

Sans compte · Sans friction

  • Scan complet du projet
  • Score + grade (A–F)
  • Top 5 vulnérabilités affichées
  • Scans illimités
  • Top 5 recommandations (aperçu)
  • CLI complet
  • Non inclus :
  • Historique des scans
  • Auto-fix (herozion fix)
  • Export JSON / CSV / PDF
  • Dashboard & push cloud
  • Clés API & CI/CD
Démarrer gratuitement
⭐ Best seller

Dev

$15/mois

$126/an — économisez 30%

Pour les développeurs solo

  • Tout le Free inclus, plus :
  • Vulnérabilités illimitées
  • Top 5 recommandations — détail complet
  • Scans illimités
  • Historique 30 jours
  • Push cloud activé
  • Dashboard complet
  • Auto-fix assisté — snippet à copier/coller
  • Export JSON / CSV / PDF
  • Organisations
  • Webhooks
Essayer Dev →

14 jours gratuits inclus

Team

$49/mois

$490/an

Pour les équipes en production

  • Tout ce qu'offre Dev, plus :
  • 5 utilisateurs inclus
  • Projets illimités
  • Historique illimité
  • Webhooks & CI/CD
  • Alertes email avancées
  • Organisations & rôles
  • Scans illimités
  • Auto-fix 1 clic — patch appliqué automatiquement
  • Top 5 recommandations prioritaires
  • Politiques d'échec personnalisées (--fail-on, --min-score)
Choisir Team →

14 jours gratuits inclus

Scan local sans compte sur tous les plans. Compte gratuit pour historique, dashboard et push cloud.

Installation

macOS Linux Windows

Homebrew, npm/npx ou binaire direct. Le guide d'installation couvre chaque méthode pas à pas.

🍺 Homebrew 📦 npm / npx ⬇ Binaire direct
Documentation complète →

FAQ

Questions fréquentes

Non. Vous pouvez utiliser la CLI immédiatement avec le plan Free.
Oui — actuellement disponible pour GitHub. Le support GitLab et Bitbucket arrive bientôt.
Dev est conçu pour les développeurs individuels. Team ajoute la collaboration, l'automatisation CI/CD et les fonctionnalités au niveau organisation.
Oui — vos données et votre historique restent intacts.
Le pipeline CI prend quelques minutes après chaque push. Attendez quelques minutes puis relancez brew update && brew upgrade herozion.
Utilisez le flag --verbose pour voir en temps réel la liste de chaque fichier analysé : herozion scan . --verbose. Vous verrez exactement ce qui est parcouru, rien de plus.
Oui, via npm/npx : npx herozion scan . — le binaire s'exécute dans node_modules/, sans toucher au PATH ou aux variables système.

Prêt à blinder votre code ?

Lancez votre premier scan en moins d'une minute. Créez un compte gratuit pour suivre vos vulnérabilités dans le temps.

Installer le CLI Créer un compte gratuit →

Catégories d'analyse

26 catégories.
Une couverture complète.

01

BOLA

Broken Object Level Authorization — accès direct aux objets sans vérification

02

Broken Authentication

Mots de passe en dur, tokens statiques, secrets exposés

03

BFLA

Broken Function Level Authorization — endpoints admin non protégés

04

Mass Assignment

Données utilisateur passées directement aux modèles sans filtrage

05

Injection

SQL injection, command injection, XSS, eval() dangereux

06

Rate Limiting

Endpoints sans limitation de débit — exposition aux attaques brute force

07

Security Misconfiguration

DEBUG = False, SECRET_KEY exposée, CORS permissif

08

Excessive Data Exposure

Sérialisation complète d'objets, champs sensibles exposés en réponse

Voir les 26 catégories avec le détail des impacts →

Confidentialité

Rien ne quitte votre machine.

L'analyse est 100 % locale. Vos sources ne sont ni transmises, ni stockées en dehors de votre système.

Ce que Herozion fait

Accède uniquement au répertoire que vous lui indiquez
Rapports stockés dans ~/.herozion/ uniquement
Toutes les actions sont déclenchées par vous
Toute modification de fichier exige votre confirmation

Ce que Herozion ne fait jamais

🚫 Zéro code source transmis — jamais
🚫 Zéro connexion réseau sans herozion push
🚫 Zéro service ou démon en arrière-plan

La commande herozion push (opt-in)

Uniquement si vous l'exécutez : envoie le rapport JSON (score, catégories, nombre de fichiers) vers votre dashboard. Votre code source n'est jamais inclus.

herozion push

Pour vérifier exactement quels fichiers sont lus, utilisez herozion scan . --verbose.

Sécurité

Conçu pour des development workflows sécurisés.

Architecture pensée pour les équipes qui ne peuvent pas se permettre de compromettre la sécurité du code.

Détection alignée OWASP
26 catégories OWASP analysées — couverture vérifiée à chaque déploiement.
Chiffrement des données au repos
Chiffrement authentifié pour toutes les données persistantes. Clés injectées via variables d'environnement.
Nettoyage automatique
Rotation automatique des logs sur courte durée. Aucun code stocké côté serveur — jamais.
Architecture vie privée d'abord
Analyse 100 % locale. Zéro upload. Herozion n'utilise jamais votre code pour entraîner des modèles d'IA.
CI/CD ready — air-gapped
Fonctionne dans GitHub Actions, GitLab CI, Jenkins. Mode hors ligne supporté après la première activation.
Divulgation responsable
Safe Harbor, réponse < 48 h, patch selon CVSS. Voir la politique.
Trust Center complet → Comment on gère votre code →

Performance

Vitesse de scan.
Transformée.

Chaque métrique mesurée sur des projets réels. Les améliorations reflètent la migration vers un moteur de scan parallélisé.

Métrique AVANT APRÈS
Mémoire
80%
85%
Analyse / fichier
75%
83%
Démarrage
75%
78%
Vitesse scan I/O
70%
86%
Charge extrême
55%
65%
GIL / CPU
55%
60%
Historique
35%
93%
Global
65%
79%
~79s Temps moyen avant
< 8s Temps moyen après
×10 Plus rapide en moyenne
5 000 Fichiers en < 40s