fala, silva!
você abordou pontos super pertinentes e, sendo bem sincera, eu concordo com a grande maioria deles.
ferramentas de cyber existem aos montes (como essas excelentes que você citou), mas o ponto principal da caramelo é focado em para quem ela foi desenhada. a nossa diferença não tá em reinventar a roda da cibersegurança, mas em mudar a acessibilidade dela.
olhando para as ferramentas que você mencionou, como profissionais da área, a gente sabe bem como elas funcionam na prática:
nessus e openvas: são gigantes, mas o nessus tem um custo corporativo em dólar que é inviável pra quem tá construindo um produto indie. o openvas é free, mas exige infraestrutura, um setup mais chato e gera relatórios pesadíssimos.
nuclei: é uma ferramenta fantástica (nosso time adora), mas é via linha de comando, exige gestão de templates e a saída de dados é bruta. o dev precisa ter expertise em segurança pra tirar valor real dali.
wpscan / ferramentas sast: wpscan é nichado apenas para wordpress, e ferramentas sast analisam o código estático. a caramelo atua como um dast (você joga a url e a gente verifica a aplicação rodando em tempo real).
o jogo que a caramelo quer mudar é o do dev indie ou da pequena software house que não tem orçamento gigantesco e nem tempo de virar especialista em segurança. hoje, essa galera acaba ficando à mercê de jogar o código numa ia genérica e rezar, justamente porque as ferramentas tradicionais de mercado são complexas ou caras demais.
é aí que entram os nossos grandes diferenciais:
relatório traduzido: a gente sabe que ferramenta de cyber normalmente é feita pra galera de cyber. os relatórios são quase impossíveis de ler se você não for da área. nós pegamos o dado técnico e mastigamos para uma linguagem simples. qualquer pessoa bate o olho, entende a falha e sabe o que precisa fazer pra corrigir.
preço e contexto: é uma solução BR, pensada e feita em casa, com um preço justo e acessível pra realidade do nosso mercado.
zero atrito: sem linha de comando, sem instalar nada. joga a url e resolve o problema.
e sobre a parte do pentest: que bom que você notou isso no faq! hahaha a gente é muito transparente. como nosso time é formado por pentesters, nós sabemos que nenhuma ferramenta substitui um pentest manual profundo (que testa lógica de negócios, etc). a caramelo é aquela camada essencial de higiene contínua para garantir que novos founders não quebrem por falhas básicas e fiquem com a porta escancarada.
valeu demais pelo comentário e por abrir esse espaço pro debate!