Herozion Herozion
  • Sécurité
  • Confidentialité
  • Documentation
← Retour au site
Sécurité Confidentialité Documentation ← Retour au site
Principes Analyse 100 % locale Aucun upload Architecture CLI
Protection Chiffrement des rapports Suppression automatique Télémétrie
Transparence Format des rapports Nos engagements Questions CTO
Votre code vous appartient

Comment nous gérons votre code

Herozion est un scanner de sécurité local-first. L'analyse s'exécute sur votre machine, votre dépôt complet n'est jamais envoyé. Des connexions réseau limitées et documentées (télémétrie anonyme, OSV.dev, auth, push opt-in) sont décrites ci-dessous.

Herozion n'utilise jamais le code client pour entraîner des modèles d'IA.

Aucun LLM, modèle de détection ni système de recommandation n'est entraîné sur vos données.

Exécution locale
Le binaire Herozion s'exécute sur votre machine (macOS, Linux, Windows) et lit directement les fichiers de votre projet via le système de fichiers local.
Zéro réseau pendant le scan
Aucune connexion réseau n'est nécessaire pour effectuer un scan. Herozion peut fonctionner en mode hors ligne complet une fois installé.
Rapport stocké localement
Le rapport JSON généré est écrit sur votre disque local (herozion-report.json). Vous contrôlez entièrement où il est stocké et qui y a accès.
Analyse de 26 catégories
Le scanner couvre 26 catégories basées sur OWASP et les standards de performance, entièrement en analyse statique, sans exécution de votre code.

Connexions réseau documentées

Toute connexion sortante est listée ci-dessous. Vous contrôlez ce qui part via les flags et variables d'environnement.

Comment le vérifier vous-même

Surveillez le trafic réseau pendant un scan (tcpdump, Wireshark, moniteur réseau de votre OS). Comparez ce que vous observez au tableau ci-dessous.

Ce qui circule sur le réseau (et pourquoi)

OpérationConnexion réseauDonnées transmises
herozion scan, Analyse locale Analyse locale + métadonnées Télémétrie anonyme post-scan (score, compteurs, durée), jamais le code source
brew install herozion, Installation Homebrew Oui, téléchargement binaire URL de téléchargement Herozion depuis GitHub Releases
brew upgrade herozion, Mise à jour Oui, téléchargement mise à jour Nouvelle version du binaire depuis GitHub Releases
herozion login, Authentification Oui, API Herozion OTP par e-mail, session /auth/me, validation de licence, jamais votre code
herozion scan, CVE dépendances Oui, OSV.dev Noms et versions de packages uniquement (désactivé avec --offline)
herozion push, Dashboard (opt-in) Oui, sur votre commande Score, catégories, chemins de fichiers et extraits de lignes, jamais le dépôt complet

Architecture CLI, sans cloud

Herozion est un binaire compilé autonome (self-contained binary). Il ne nécessite aucun runtime, aucun service cloud, aucune dépendance externe pour analyser votre code.

ComposantLocalisationDescription
Moteur d'analyse Local, dans le binaire 26 analyseurs statiques compilés dans le binaire. Aucune dépendance externe.
Base de règles OWASP Local, dans le binaire Les règles de détection sont embarquées. Mises à jour via brew upgrade.
Rapport JSON Local, votre disque Écrit dans le répertoire courant ou le chemin spécifié par --output.
Cache de licence Local, ~/.herozion/ La validation de licence est mise en cache localement. Réseau requis uniquement à la première activation ou renouvellement.
Intégration CI/CD Local, runner CI S'exécute dans votre runner (GitHub Actions, GitLab CI, Jenkins) sans accès à internet si le binaire est mis en cache.

Chiffrement des rapports et du cache

Les fichiers sensibles stockés par Herozion sur votre machine utilisent un chiffrement fort.

  • Cache de licence chiffré, Le cache de licence est chiffré avec une clé dérivée de votre machine (identifiant système unique). Il ne peut pas être réutilisé sur une autre machine.
  • Rapports en clair par défaut, Le fichier herozion-report.json est en JSON lisible par défaut pour faciliter l'intégration CI/CD. Utilisez --encrypt-output pour chiffrer le rapport avec votre propre clé.
  • Aucune donnée persistée par Herozion, En dehors du cache de licence et du rapport, Herozion ne crée aucun fichier persistant sur votre machine.

Suppression automatique des données

Herozion applique une politique de rétention minimale sur les données qu'il stocke, aussi bien côté serveur que côté client.

DonnéeOùSuppression
Rapport d'analyse (herozion-report.json) Votre machine (local) Vous êtes seul responsable. Aucune copie chez Herozion.
Cache de licence Votre machine (répertoire local Herozion) Supprimé par herozion --logout ou désinstallation.
Logs de visite (IP tronquée) Serveurs Herozion Rotation automatique sur une courte durée glissante.
Données d'inscription meetup Serveurs Herozion (chiffrées) Suppression automatique 90 jours après l'événement.
JWT de session Cookie navigateur Expire automatiquement après une courte période. Révocable via déconnexion.

Télémétrie & Statistiques d'utilisation

Après chaque herozion scan, Herozion envoie par défaut des statistiques anonymes (score, compteurs, durée, version CLI, OS) pour améliorer le produit, jamais vos chemins de fichiers ni votre code source.

Télémétrie anonyme post-scan

Métadonnées agrégées uniquement : score, nombre de findings par catégorie, durée du scan, version CLI, système d'exploitation. Aucun chemin de fichier, aucun extrait de code, aucun nom de projet.

Désactivation et périmètre

Vous gardez le contrôle :

  • Opt-out à tout moment via HEROZION_TELEMETRY=0 (variable d'environnement).
  • Distinct de herozion push, le dashboard cloud reste opt-in et peut inclure chemins + extraits de lignes.
  • Les requêtes OSV.dev (CVE de dépendances) sont séparées, noms et versions de packages uniquement, désactivées avec --offline.
  • Si connecté (herozion login), l'API Herozion peut être contactée pour OTP, session /auth/me et validation de licence.

Format des rapports d'analyse

Le rapport produit par Herozion est un fichier JSON structuré, stocké localement. Il contient exclusivement des résultats d'analyse, jamais le code source lui-même.

ChampContenuExemple
score Score global de 0 à 100 78
categories Score par catégorie OWASP {"categorie": 100, ...}
findings Liste des problèmes détectés Fichier + ligne + CWE + sévérité CVSS
scanned_files Nombre de fichiers analysés 142
version Version de Herozion utilisée "v1.2.27"
Chemin de fichier relatif uniquement

Les chemins présents dans les findings sont toujours relatifs à la racine du projet scanné. Aucun chemin absolu (qui pourrait révéler la structure de votre système) n'est inclus dans le rapport.

Nos engagements

Ces engagements sont des garanties techniques et contractuelles, pas de simples déclarations d'intention.

  • Votre code ne nous appartient pas. Herozion n'a aucun droit sur le code que vous analysez. Aucune licence implicite n'est accordée.
  • Jamais le dépôt complet. Notre infrastructure ne reçoit ni ne stocke l'intégralité de vos sources. Le push opt-in peut inclure chemins et extraits de lignes autour des findings.
  • Transparence sur les changements. Tout changement dans notre collecte de données sera annoncé dans le changelog 30 jours avant son entrée en vigueur.
  • Audit accessible. Vous pouvez auditer le comportement réseau du binaire à tout moment. Nous encourageons la surveillance par la communauté.
  • Suppression sur demande. Toutes les données de votre compte (e-mail, inscriptions) sont supprimées sur simple demande à [email protected] dans un délai de 30 jours.
  • Pas de revente. Vos données ne sont jamais vendues, louées ou partagées à des fins commerciales avec des tiers.
Questions ou préoccupations ?

Pour toute question sur la gestion de votre code ou vos données : [email protected], réponse sous 48 h.

Questions fréquentes des CTO & équipes sécurité

Les questions que les responsables techniques posent avant d'intégrer un outil de sécurité dans leur pipeline. Réponses directes, sans marketing.

QuestionRéponse
Où sont hébergées les données ? Il n'y a pas de données de code hostées. L'analyse est locale. Le seul serveur Herozion est l'API de validation de licence, hébergée en Union Européenne.
Supportez-vous l'on-premise ? Oui, par défaut. Le binaire CLI tourne entièrement sur votre infrastructure. Aucun cloud n'est requis pour scanner.
Entraînez-vous une IA sur le code ? Non. Jamais. Nous ne recevons pas votre code. Cette garantie est architecturale, pas contractuelle.
Les scans peuvent-ils être supprimés instantanément ? Les rapports sont sur votre machine. Vous les supprimez quand vous voulez. Herozion n'en garde aucune copie.
Supportez-vous les dépôts privés ? Oui. Herozion scanne le filesystem local, il n'a pas besoin d'accès GitHub/GitLab. Vos dépôts privés ne quittent jamais votre runner CI.
L'analyse est-elle isolée par tenant ? Chaque invocation du binaire s'exécute dans son propre processus isolé. Il n'y a pas de « tenant » cloud, chaque développeur scanne localement.
Quelles données collectez-vous ? Minimum vital : adresse e-mail (compte), IP anonymisée (logs), clé de licence hachée. Ni code, ni nom de projet, ni structure de répertoire.
Peut-il tourner en réseau isolé (air-gapped) ? Oui, après la première activation de licence. Le cache local permet les scans hors ligne indéfiniment.
Quel est votre score de sécurité ? OWASP Top 10 2021 couvert. Détail complet sur herozion.io/security.
Avez-vous la certification SOC 2 ? Pas encore. SOC 2 Type II est prévu pour 2027. En attendant, la conformité RGPD est complète et Stripe gère la conformité PCI-DSS.
Une autre question ?

Pour toute question de due diligence ou d'évaluation sécurité : [email protected], réponse sous 48 h ouvrées.

Herozion Herozion © 2026 Herozion Team. Tous droits réservés.
Sécurité Confidentialité Gestion du code Documentation Conditions d'utilisation [email protected]
SiteLock v1.2.27 Licence Propriétaire