Fala, Borodin! Excelente pergunta, não tem nada de idiota não! Na verdade, esse seu receio é super válido e muito comum quando a gente fala de testar ferramentas de segurança novas.

O que a Caramelo Sec faz, de forma bem direta, é um scan de Web Hardening. A gente varre a sua aplicação em busca de configurações incorretas, caminhos desnecessários e exposições que um atacante poderia usar contra você (como aquele arquivo .env com senhas que acaba subindo sem querer, cabeçalhos de segurança ausentes, etc). Nós atuamos para reduzir a sua superfície de ataque e garantir que o básico esteja bem feito.

Sobre o seu trauma com o código infectado, pode ficar 100% tranquilo. A Caramelo não altera nenhuma linha do seu código e não injeta absolutamente nada na sua aplicação. Nosso scan atua apenas fazendo requisições de fora para dentro para identificar as brechas, como um auditor. Nós te entregamos o relatório apontando o problema e como resolver, mas quem mexe no código é você.

Além disso, por uma questão de compliance, você não consegue sair escaneando qualquer coisa. A gente exige que você coloque uma chave de token única na raiz do seu projeto para provar que aquele domínio é seu mesmo.

Se ainda assim bater aquele frio na barriga de rodar na sua API, testa o nosso Dog Mode! É um ambiente simulado que a gente criou lá dentro justamente para você ver como a varredura e os relatórios funcionam na prática, sem precisar colocar a sua aplicação na reta logo de cara.

Qualquer dúvida, manda aí!