Executando verificação de segurança...
13
maincarmem
1 min de leitura ·

Pitch: Criei um scanner de segurança pra SaaS, APIs e sites (você só joga a URL)

É a [caramelosec.com]

Tenho visto cada vez mais ataques em plataformas pequenas.

Motivo? Boom de dev com IA + pressão por entrega rápida = segurança ignorada.

Então eu e mais 4 amigos criamos um SaaS focado nisso.

A ideia é simples:

Você joga a URL
Roda o scan (e não, não é uma IA. criamos uma ferramenta prórpia)
Recebe um relatório com falhas + como corrigir
Joga isso numa IA que você quiser
A IA corrige
Você roda o scan de novo

Se resolveu, a ferramenta confirma
Se não, tenta de novo (tem 5 retestes grátis)

Sem firula. Só encontrar falha e corrigir rápido.

PS: MVP já validado com +300 usuários. Tô só melhorando com base no que a galera tá mandando no email, X e Discord

Carregando publicação patrocinada...
4
Silva97

Ou seja, é basicamente um OpenVAS ou Nessus da vida, só que pago...? Qual a vantagem comparado a qualquer outro scanner gratuito que já existe? Porque existem vários e, inclusive, alguns específicos (como wpscan para WordPress) que encontram vulns mais adequadamente e o nuclei que permite usar/criar templates customizados. E inclusive várias ferramentas gratuitas que fazem SAST.

Bom, mesmo que eu duvide que isso seja melhor do que o que já temos disponível gratuitamente, quero parabenizar por não fazer marketing da plataforma alegando que isso era um "pentest automatizado", que é o que praticamente todos os seus concorrentes fazem. E eu vi que no FAQ você até deixou claro que não substitui um pentest.

7
maincarmem
  • Autor
    Autor

fala, silva!

você abordou pontos super pertinentes e, sendo bem sincera, eu concordo com a grande maioria deles.

ferramentas de cyber existem aos montes (como essas excelentes que você citou), mas o ponto principal da caramelo é focado em para quem ela foi desenhada. a nossa diferença não tá em reinventar a roda da cibersegurança, mas em mudar a acessibilidade dela.

olhando para as ferramentas que você mencionou, como profissionais da área, a gente sabe bem como elas funcionam na prática:

nessus e openvas: são gigantes, mas o nessus tem um custo corporativo em dólar que é inviável pra quem tá construindo um produto indie. o openvas é free, mas exige infraestrutura, um setup mais chato e gera relatórios pesadíssimos.

nuclei: é uma ferramenta fantástica (nosso time adora), mas é via linha de comando, exige gestão de templates e a saída de dados é bruta. o dev precisa ter expertise em segurança pra tirar valor real dali.

wpscan / ferramentas sast: wpscan é nichado apenas para wordpress, e ferramentas sast analisam o código estático. a caramelo atua como um dast (você joga a url e a gente verifica a aplicação rodando em tempo real).

o jogo que a caramelo quer mudar é o do dev indie ou da pequena software house que não tem orçamento gigantesco e nem tempo de virar especialista em segurança. hoje, essa galera acaba ficando à mercê de jogar o código numa ia genérica e rezar, justamente porque as ferramentas tradicionais de mercado são complexas ou caras demais.

é aí que entram os nossos grandes diferenciais:

relatório traduzido: a gente sabe que ferramenta de cyber normalmente é feita pra galera de cyber. os relatórios são quase impossíveis de ler se você não for da área. nós pegamos o dado técnico e mastigamos para uma linguagem simples. qualquer pessoa bate o olho, entende a falha e sabe o que precisa fazer pra corrigir.

preço e contexto: é uma solução BR, pensada e feita em casa, com um preço justo e acessível pra realidade do nosso mercado.

zero atrito: sem linha de comando, sem instalar nada. joga a url e resolve o problema.

e sobre a parte do pentest: que bom que você notou isso no faq! hahaha a gente é muito transparente. como nosso time é formado por pentesters, nós sabemos que nenhuma ferramenta substitui um pentest manual profundo (que testa lógica de negócios, etc). a caramelo é aquela camada essencial de higiene contínua para garantir que novos founders não quebrem por falhas básicas e fiquem com a porta escancarada.

valeu demais pelo comentário e por abrir esse espaço pro debate!

2
Silva97

Mandou bem! Entendi agora o valor da sua plataforma. Como uma ferramenta para leigos em segurança, eu vejo a vantagem.

Parabéns pela transparência.

2
SrProcessinho

Um bom vendedor deve saber argumentar e entender os concorrentes. Acredito que esses argumentos devem ser colocados no site e também colocar uma identidade visual melhor aos olhos. Sucesso!

0
1
1
Borodin

O que ele faz exatamente? Parece uma pergunta idiota, mas certa vez eu fhi testar o medusa e oitras ferramentas na minha api em localhost. Fiquei decepcionado com o resultado. Na vez seguinte que subi o código, ele subiu um cosigo infectado. Deu uma treta 😅😅😅😅😅😅

1
maincarmem
  • Autor
    Autor

Fala, Borodin! Excelente pergunta, não tem nada de idiota não! Na verdade, esse seu receio é super válido e muito comum quando a gente fala de testar ferramentas de segurança novas.

O que a Caramelo Sec faz, de forma bem direta, é um scan de Web Hardening. A gente varre a sua aplicação em busca de configurações incorretas, caminhos desnecessários e exposições que um atacante poderia usar contra você (como aquele arquivo .env com senhas que acaba subindo sem querer, cabeçalhos de segurança ausentes, etc). Nós atuamos para reduzir a sua superfície de ataque e garantir que o básico esteja bem feito.

Sobre o seu trauma com o código infectado, pode ficar 100% tranquilo. A Caramelo não altera nenhuma linha do seu código e não injeta absolutamente nada na sua aplicação. Nosso scan atua apenas fazendo requisições de fora para dentro para identificar as brechas, como um auditor. Nós te entregamos o relatório apontando o problema e como resolver, mas quem mexe no código é você.

Além disso, por uma questão de compliance, você não consegue sair escaneando qualquer coisa. A gente exige que você coloque uma chave de token única na raiz do seu projeto para provar que aquele domínio é seu mesmo.

Se ainda assim bater aquele frio na barriga de rodar na sua API, testa o nosso Dog Mode! É um ambiente simulado que a gente criou lá dentro justamente para você ver como a varredura e os relatórios funcionam na prática, sem precisar colocar a sua aplicação na reta logo de cara.

Qualquer dúvida, manda aí!

0
1
0
-1
0
1