Я раньше работал обычным безопасником. Кто-то называет таких «ИБшниками», кто-то — «параноиками», кто-то — «тем самым занудой, который мешает жить».
Каждый день у меня был один и тот же диалог:

  • Тимлид: «У нас релиз в пятницу, отстань со своим сканированием».

  • Менеджер: «В бюджете только Jira и пицца, какие ещё 15 миллионов за софт?»

  • Разработчик: «Код сгенерил AI, билд прошёл, значит, всё норм».

Сокровища DevSecOps
Сокровища DevSecOps

Я смотрел на всё это и понимал: уязвимости не спрашивают, есть ли у компании бюджет.

Где болит у всех

Я специально копался в исследованиях и разговаривал с коллегами. Картина одинаковая у многих компаний.

ИБшники жалуются, что инструментов полно, но работать некому. Настроить пайплайн, объяснить разработчику, что такое CWE — это целая наука.
DevOps-ы ругаются: «Ваш DevSecOps тормозит пайплайн». Ложных срабатываний так много, что проще выключить сканер.
Тимлиды говорят: «Мы лучше успеем к дедлайну, чем будем возиться с вашей безопасностью».
Топы улыбаются: «Да, безопасность важна». Но реально выделяют 10–15 % от всего бюджета на ИБ, и то с боем.

Итого: релизы летят, уязвимости остаются, все делают вид, что так и надо.

Что я сделал

Я собрал SecCoder.com Code Scanner — бесплатный сайт, где можно просто взять файл, перетащить его мышкой и сразу увидеть результат.

Поддерживаются Python, JavaScript, Java, C++, Go, PHP, конфиги типа Dockerfile, Kubernetes, Terraform и многие другие. Всё, что реально встречается в жизни, а не только в презентациях вендоров.

Грузи и сканируй на уязвимости без смс и регистраций
Грузи и сканируй на уязвимости без смс и регистраций

Три проверки:

  1. SAST (уязвимости в коде),

  2. SCA (дырявые библиотеки и зависимости),

  3. IaC (инфраструктурные конфиги).

Никаких формальностей: без регистрации, без ввода карты, без того, чтобы три месяца ждать, пока пройдёт закупка у вендора.

Готово!
Готово!

Почему это работает именно так

Все базовые сканеры давно лежат в open-source: Bandit, Semgrep, Trivy, Checkov. Но чтобы это реально заработало:

  1. нужен сервер,

  2. нужно обновлять базы,

  3. нужно писать обвязку,

  4. нужно нормализовать результаты.

Вендоры всё это продают по цене 6–20 миллионов рублей в год. Но если честно, большая часть этой суммы — не про функции, а про бумажки: сертификации, лицензии, маркетинг, юристы.

Я не против вендоров: пусть крупные корпорации с гигантскими бюджетами продолжают покупать их коробки. Но объясните, зачем маленькой команде платить десятки миллионов просто за то, что уже доступно в open-source? По факту им продают воздух.

Я решил собрать это в одну работающую систему и отдать бесплатно. Потому что маленьким командам и соло-разработчикам нужны не «коробки с логотипом», а быстрый способ проверить код.

Как решаются реальные боли

  • ИБшники больше не бегают с PDF-ками. Они берут код, загружают, показывают результат тимлиду прямо здесь и сейчас.

  • DevOps-ы не орут, что пайплайн сломан. Проверка идёт отдельно, ложных срабатываний меньше, отчёт нормализован.

  • Тимлиды получают аргументы. Не страшилки, а конкретные баги с привязкой к строкам кода.

  • Топы наконец-то видят, что безопасность можно встроить без бюджета на уровне «год лицензии и тендер».

Что дальше

Сканер останется бесплатным навсегда, также я хочу сделать DAST, но там придётся проработать юридические аспекты, чтобы не появилось злоупотреблений — например, чтобы пользователи не сканировали чужие сайты. Уже есть идеи, как можно верифицировать такие проверки.

Сейчас сайт работает в Бете на небольших ресурсах. Может лагать, может не проглотить большой файл — дробите на части. Если будет долго обрабатывать ваши файлы или конфиги то заранее извиняюсь. Но небольшие файлы обрабатывает быстро. В дальнейшем если пользователей будет больше - расширю ресурсы.

По поводу утечек: файлы хранятся только 7 дней, потом автоматически удаляются. Я понимаю, что у всех паранойя на тему «куда улетит код», но давайте честно — половина людей уже сливает свой приватный код в AI-ассистенты и не задаётся вопросами. Если у вас сомнения — не заливайте ничего ценного. Здесь нет аутентификации: загрузил — просканировал — получил отчёт. Всё максимально просто, без барьеров.

Есть ещё одна удобная штука — share отчёта по ссылке. Сделали скан, получили результат и одним кликом сгенерировали ссылку. Она живёт 7 дней, после чего удаляется. Это удобно для тимлидов и ИБшников: можно показать результат команде или заказчику, не пересылая файлы руками.

Итог

Это не «корпоративный монстр», а рабочий инструмент для обычных людей. Для ИБшника, тимлида, менеджера и разработчика, которые устали от бесконечных разговоров и хотят просто проверить код.

И да, я знаю, что в комментах сейчас появятся люди из вендоров и начнут доказывать, что без их продуктов никак. Что у них поддержка 24/7, сертификаты, SLA. Всё так. Но давайте честно: у скромной команды из пару человек нет ни бюджета, ни желания платить за то, что давно доступно бесплатно.