Vibe Shield
AGPL-3.0 · SAST + DAST + SCA · Protocolo GÊNESIS v5.5

Ship fast.
Ship secure.

Pipeline de AppSec para stacks Next.js + Supabase: SAST, DAST, SCA, secret scanning, IaC e OWASP LLM Top 10 em um único job. Aponta o repo ou a URL — devolve score, CWE mapeado, PoC reproduzível e patch sugerido. Sem SaaS trancado, sem licença por seat, sem paywall.

Engine destilada de +26 milhões de palavrasde research ofensivo e defensivo (OWASP Top 10 2021/2025, CWE Top 25, MITRE ATT&CK, HackTricks, PortSwigger Academy, CVE/GHSA, PayloadsAllTheThings, PTES, OSSTMM) — PT-BR, com guia de correção acionável.

Analisar

Sem limite de scans · Sem planos pagos · Repos seus ou com sua autorização

Ver código no GitHubApoie o projeto

Uso ético: esta ferramenta contém conhecimento ofensivo dual-use. Você só pode escanear sistemas que possui ou tem autorização escrita para testar. Uso não autorizado é crime (Lei 12.737/2012).

Leia as regras →

Como Funciona

Três passos para saber se seu app está seguro

1

Cole o link

URL do GitHub (público ou privado com GitHub App) ou URL ao vivo para DAST

2

Análise automática

11+ verificações baseadas no Protocolo GÊNESIS em workers isolados

3

Receba o relatório

Score 0-100 + guias de correção em português, sem pay-wall

O Que Verificamos

11+ scripts de auditoria especializados em Next.js + Supabase

SBOM & Supply Chain

Análise de dependências, lockfile sync, pacotes deprecados, scripts suspeitos

Secrets Exposure

Detecta .env, API keys, tokens e credenciais vazadas no código

Broken Access Control

Testa endpoints sem auth, escalação de roles, IDOR, manipulação de valores

Security Headers

HSTS, CSP, X-Frame-Options, Permissions-Policy, Referrer-Policy

Error Handling

Stack traces expostos, respostas verbosas, informações sensíveis em erros

npm Audit

Vulnerabilidades conhecidas via npm audit + análise de severidade

Projeto 100% gratuito

Vibe Shield é open source sob licença AGPL-3.0, sem planos pagos, sem limite de scans, sem cadastro obrigatório para repos públicos.

Estou pagando os servidores e o Supabase do meu próprio bolso — o tier gratuito já está quase no limite por causa da base de conhecimento do GÊNESIS (+26M palavras de research de segurança indexado). Se o projeto te ajudou, considere um Pix pra manter tudo rodando.

Apoie com Pix⭐ Star no GitHub

Dar star, compartilhar e abrir issues também ajudam muito — sem custo.

Vibe Shield vs Snyk vs CodeQL

Compare features e descubra por que o Vibe Shield é a opção mais acessível para devs brasileiros usando Next.js + Supabase.

Ver comparativo completo

Perguntas Frequentes

O Vibe Shield é realmente gratuito?
Sim. 100% open source sob licença AGPL-3.0, sem limite de scans, sem plano pago. Quem quiser apoiar pode fazer uma doação voluntária via Pix.
Posso usar para escanear o site de qualquer pessoa?
NÃO. Você só pode usar em sistemas que você possui ou tem autorização escrita. Uso não autorizado é crime no Brasil (Lei 12.737/2012 e LGPD). Leia o USO-ETICO.md antes de escanear qualquer coisa.
Vocês armazenam meu código-fonte?
Não. O código é clonado temporariamente em worker isolado, analisado e deletado imediatamente após o scan. Nunca armazenamos código.
Funciona com repos privados?
Sim. Instale o GitHub App e selecione os repos que deseja analisar. Usamos tokens de curta duração (1h).
O scan pode quebrar meu código?
Não. O Vibe Shield faz análise estática (SAST) e verificação passiva de headers (DAST). Nenhum código é executado, nada é modificado no seu repositório.
Qual a diferença entre SAST e DAST?
SAST analisa o código-fonte (secrets, dependências, configurações). DAST verifica uma URL ao vivo (headers de segurança, paths expostos, TLS). Recomendamos usar ambos.
O que é o Protocolo GÊNESIS?
Framework open-source de segurança e arquitetura com 11+ scripts de auditoria + 9.5k+ técnicas de pentest + 49k+ ADRs catalogados. Ver github.com/Tonx-Cloud/PROJETO-GENESIS.
Por que AGPL-3.0 em vez de MIT?
Para garantir que forks, serviços hospedados e modificações continuem open source. Assim ninguém pode pegar o código, vender como SaaS fechado e deixar de contribuir de volta.
Como posso apoiar sem doar dinheiro?
Dar ⭐ star no GitHub, compartilhar com outros devs, abrir issues com bugs, contribuir com PRs, escrever tutoriais ou vídeos. Tudo ajuda a manter o projeto vivo.