Herozion Herozion
  • Sécurité
  • Confidentialité
  • Documentation
← Retour au site
Sécurité Confidentialité Documentation ← Retour au site
Principes Analyse 100 % locale Aucun upload Architecture CLI
Protection Chiffrement des rapports Suppression automatique Télémétrie
Transparence Format des rapports Nos engagements Questions CTO
Votre code vous appartient

Comment nous gérons votre code

Herozion est un scanner de sécurité entièrement local. Votre code source ne quitte jamais votre machine. Il n'est ni envoyé à nos serveurs, ni stocké dans le cloud, ni partagé avec un tiers.

Herozion n'utilise jamais le code client pour entraîner des modèles d'IA.

Votre code source n'est jamais transmis à nos serveurs — il est donc techniquement impossible qu'il serve à entraîner quoi que ce soit.

Garantie absolue : zéro upload de code

L'analyse statique est effectuée par le binaire Herozion directement sur votre système de fichiers. Aucune connexion réseau sortante n'est établie pendant un scan. Vous pouvez le vérifier en coupant votre accès internet — Herozion fonctionnera parfaitement.

Exécution locale
Le binaire Herozion s'exécute sur votre machine (macOS, Linux, Windows) et lit directement les fichiers de votre projet via le système de fichiers local.
Zéro réseau pendant le scan
Aucune connexion réseau n'est nécessaire pour effectuer un scan. Herozion peut fonctionner en mode hors ligne complet une fois installé.
Rapport stocké localement
Le rapport JSON généré est écrit sur votre disque local (herozion-report.json). Vous contrôlez entièrement où il est stocké et qui y a accès.
Analyse de 26 catégories
Le scanner couvre 26 catégories basées sur OWASP et les standards de performance — entièrement en analyse statique, sans exécution de votre code.

Aucun upload vers un serveur

Cette garantie est architecturale, pas seulement contractuelle. La conception du binaire ne prévoit aucune fonctionnalité d'envoi de code source.

Comment le vérifier vous-même

Vous pouvez surveiller le trafic réseau pendant un scan avec des outils comme tcpdump, Wireshark ou le moniteur réseau de votre OS. Aucune connexion sortante vers herozion.io ou toute autre adresse ne sera établie pendant herozion scan.

Ce qui circule sur le réseau (et pourquoi)

OpérationConnexion réseauDonnées transmises
herozion scan — Analyse locale Aucune —
brew install herozion — Installation Homebrew Oui — téléchargement binaire URL de téléchargement Herozion depuis GitHub Releases
brew upgrade herozion — Mise à jour Oui — téléchargement mise à jour Nouvelle version du binaire depuis GitHub Releases
herozion --license — Validation de licence Oui — vérification API Votre clé de licence (hachée), jamais votre code

Architecture CLI — sans cloud

Herozion est un binaire compilé autonome (self-contained binary). Il ne nécessite aucun runtime, aucun service cloud, aucune dépendance externe pour analyser votre code.

ComposantLocalisationDescription
Moteur d'analyse Local — dans le binaire 26 analyseurs statiques compilés dans le binaire. Aucune dépendance externe.
Base de règles OWASP Local — dans le binaire Les règles de détection sont embarquées. Mises à jour via brew upgrade.
Rapport JSON Local — votre disque Écrit dans le répertoire courant ou le chemin spécifié par --output.
Cache de licence Local — ~/.herozion/ La validation de licence est mise en cache localement. Réseau requis uniquement à la première activation ou renouvellement.
Intégration CI/CD Local — runner CI S'exécute dans votre runner (GitHub Actions, GitLab CI, Jenkins) sans accès à internet si le binaire est mis en cache.

Chiffrement des rapports et du cache

Les fichiers sensibles stockés par Herozion sur votre machine utilisent un chiffrement fort.

  • Cache de licence chiffré — Le cache de licence est chiffré avec une clé dérivée de votre machine (identifiant système unique). Il ne peut pas être réutilisé sur une autre machine.
  • Rapports en clair par défaut — Le fichier herozion-report.json est en JSON lisible par défaut pour faciliter l'intégration CI/CD. Utilisez --encrypt-output pour chiffrer le rapport avec votre propre clé.
  • Aucune donnée persistée par Herozion — En dehors du cache de licence et du rapport, Herozion ne crée aucun fichier persistant sur votre machine.

Suppression automatique des données

Herozion applique une politique de rétention minimale sur les données qu'il stocke, aussi bien côté serveur que côté client.

DonnéeOùSuppression
Rapport d'analyse (herozion-report.json) Votre machine (local) Vous êtes seul responsable. Aucune copie chez Herozion.
Cache de licence Votre machine (répertoire local Herozion) Supprimé par herozion --logout ou désinstallation.
Logs de visite (IP tronquée) Serveurs Herozion Rotation automatique sur une courte durée glissante.
Données d'inscription meetup Serveurs Herozion (chiffrées) Suppression automatique 90 jours après l'événement.
JWT de session Cookie navigateur Expire automatiquement après une courte période. Révocable via déconnexion.

Télémétrie & Statistiques d'utilisation

Herozion ne collecte aucune télémétrie par défaut. Le comportement exact du binaire sur votre machine vous appartient.

Télémétrie désactivée par défaut

Aucune donnée sur vos scans (chemins de fichiers, vulnérabilités trouvées, nom du projet, durée) n'est envoyée à Herozion. Il n'existe pas de "home call" implicite lors d'un scan.

Ce qui pourrait changer à l'avenir

Si Herozion venait à introduire une collecte de statistiques optionnelle (ex. : nombre de scans agrégés pour améliorer le produit), elle sera :

  • Strictement opt-in — désactivée par défaut, activable uniquement avec votre consentement explicite.
  • Documentée dans les notes de version avant activation.
  • Limitée aux métadonnées agrégées anonymisées — jamais au contenu de vos fichiers.
  • Désactivable à tout moment via herozion config --telemetry off.

Format des rapports d'analyse

Le rapport produit par Herozion est un fichier JSON structuré, stocké localement. Il contient exclusivement des résultats d'analyse — jamais le code source lui-même.

ChampContenuExemple
score Score global de 0 à 100 78
categories Score par catégorie OWASP {"categorie": 100, ...}
findings Liste des problèmes détectés Fichier + ligne + CWE + sévérité CVSS
scanned_files Nombre de fichiers analysés 142
version Version de Herozion utilisée "v1.1.40"
Chemin de fichier relatif uniquement

Les chemins présents dans les findings sont toujours relatifs à la racine du projet scanné. Aucun chemin absolu (qui pourrait révéler la structure de votre système) n'est inclus dans le rapport.

Nos engagements

Ces engagements sont des garanties techniques et contractuelles, pas de simples déclarations d'intention.

  • Votre code ne nous appartient pas. Herozion n'a aucun droit sur le code que vous analysez. Aucune licence implicite n'est accordée.
  • Zéro accès à votre code source. Notre infrastructure ne reçoit, ne stocke et ne traite jamais le contenu de vos fichiers.
  • Transparence sur les changements. Tout changement dans notre collecte de données sera annoncé dans le changelog 30 jours avant son entrée en vigueur.
  • Audit accessible. Vous pouvez auditer le comportement réseau du binaire à tout moment. Nous encourageons la surveillance par la communauté.
  • Suppression sur demande. Toutes les données de votre compte (e-mail, inscriptions) sont supprimées sur simple demande à [email protected] dans un délai de 30 jours.
  • Pas de revente. Vos données ne sont jamais vendues, louées ou partagées à des fins commerciales avec des tiers.
Questions ou préoccupations ?

Pour toute question sur la gestion de votre code ou vos données : [email protected] — réponse sous 48 h.

Questions fréquentes des CTO & équipes sécurité

Les questions que les responsables techniques posent avant d'intégrer un outil de sécurité dans leur pipeline. Réponses directes, sans marketing.

QuestionRéponse
Où sont hébergées les données ? Il n'y a pas de données de code hostées. L'analyse est locale. Le seul serveur Herozion est l'API de validation de licence, hébergée en Union Européenne.
Supportez-vous l'on-premise ? Oui, par défaut. Le binaire CLI tourne entièrement sur votre infrastructure. Aucun cloud n'est requis pour scanner.
Entraînez-vous une IA sur le code ? Non. Jamais. Nous ne recevons pas votre code. Cette garantie est architecturale, pas contractuelle.
Les scans peuvent-ils être supprimés instantanément ? Les rapports sont sur votre machine. Vous les supprimez quand vous voulez. Herozion n'en garde aucune copie.
Supportez-vous les dépôts privés ? Oui. Herozion scanne le filesystem local — il n'a pas besoin d'accès GitHub/GitLab. Vos dépôts privés ne quittent jamais votre runner CI.
L'analyse est-elle isolée par tenant ? Chaque invocation du binaire s'exécute dans son propre processus isolé. Il n'y a pas de « tenant » cloud — chaque développeur scanne localement.
Quelles données collectez-vous ? Minimum vital : adresse e-mail (compte), IP anonymisée (logs), clé de licence hachée. Ni code, ni nom de projet, ni structure de répertoire.
Peut-il tourner en réseau isolé (air-gapped) ? Oui, après la première activation de licence. Le cache local permet les scans hors ligne indéfiniment.
Quel est votre score de sécurité ? OWASP Top 10 2021 couvert. Détail complet sur herozion.io/security.
Avez-vous la certification SOC 2 ? Pas encore. SOC 2 Type II est prévu pour 2027. En attendant, la conformité RGPD est complète et Stripe gère la conformité PCI-DSS.
Une autre question ?

Pour toute question de due diligence ou d'évaluation sécurité : [email protected] — réponse sous 48 h ouvrées.

Herozion Herozion © 2026 Herozion Team. Tous droits réservés.
Sécurité Confidentialité Gestion du code Documentation Conditions d'utilisation [email protected]
v1.1.40 Licence Propriétaire