Questions fréquentes

Hacktron est une plateforme de revue de code de sécurité propulsée par l'IA. Ses agents IA examinent vos dépôts à la recherche de vulnérabilités exploitables et les font remonter sous forme de commentaires de pull request et de résultats dans le tableau de bord. Il fonctionne en deux modes : des revues par PR qui s'exécutent sur chaque pull ou merge request, et des scans whitebox (aussi appelés pentests) qui analysent l'intégralité du code source d'un dépôt.

Sous le capot, Hacktron indexe votre base de code, construit des graphes d'appels et élabore un modèle de menace, comme un ingénieur sécurité expérimenté se construit un modèle mental de votre système.

Hacktron se comporte comme un ingénieur sécurité et s'affine à chaque revue. Le feedback de triage sur les résultats, comme marquer les faux positifs ou confirmer les vrais problèmes, ainsi que des règles de projet comme un fichier .hacktron/rules.md, lui apprennent votre surface d'attaque, si bien que chaque revue devient plus spécifique à votre base de code que la précédente.

Le SAST traditionnel applique des règles connues par motifs. Les agents de Hacktron raisonnent sur l'exploitabilité, y compris les failles d'autorisation et de contrôle d'accès qui ne correspondent à aucune règle unique, et présentent chaque résultat avec une trace de flux de données (taint) pour que vous voyiez pourquoi il est exploitable.

Une revue de PR s'exécute automatiquement sur chaque pull ou merge request et se concentre sur le changement. Un scan whitebox (aussi appelé pentest) couvre l'intégralité du code source d'un dépôt et se lance depuis le tableau de bord.

Sur chaque PR, Hacktron publie un "Hacktron Security Check" et une revue unique avec des commentaires en ligne, au niveau des lignes de code concernées. Chaque résultat inclut une option "Fix with AI" (ouvrez le correctif dans Cursor, Claude ou Codex) ainsi qu'un prompt de remédiation à copier. Vous pouvez relancer une revue en commentant @hacktron review et trier les résultats directement dans le fil de discussion.

Hacktron vous fournit des prompts de correction en un clic et des liens directs plutôt que de committer des changements à votre place. Il suit la correction des vulnérabilités à travers les PR et clôt automatiquement les problèmes une fois corrigés, ce qui évite que des résultats obsolètes encombrent votre backlog.

Oui. Hacktron génère des rapports exécutifs pour les parties prenantes et des rapports techniques pour les ingénieurs, et vous pouvez exporter les résultats au format CSV ou SARIF pour les intégrer à vos propres outils et pipelines.

Hacktron se concentre sur les vulnérabilités de code exploitables comme l'injection (par exemple l'injection SQL), le cross-site scripting et les failles d'autorisation ou de contrôle d'accès, et présente chaque résultat avec une trace de flux de données. Il a déjà découvert des 0-days critiques dans Next.js, oauth2-proxy et Metabase.

Oui. Hacktron examine les risques liés aux fonctionnalités IA et au code généré par IA, notamment l'injection de prompt, le traitement non sécurisé des entrées et sorties de LLM, et les intégrations non sécurisées d'agents IA ou d'outils.

Le relecteur IA de Hacktron lit du code dans n'importe quel langage, il n'est donc pas limité à une liste fixe. Pour les langages sur lesquels les équipes s'appuient le plus, il ajoute une analyse plus profonde, propre au langage. Si vous ne voyez pas votre stack ci-dessous, réservez un appel et nous confirmerons la couverture pour vos besoins spécifiques.

Hacktron révise les pull et merge requests sur GitHub (y compris GitHub Enterprise) et GitLab (y compris auto-hébergé). Les dépôts Bitbucket peuvent être connectés pour le scan et pour acheminer les résultats vers des tickets.

Oui. Connectez GitHub Enterprise ou une instance GitLab auto-hébergée à l'aide d'un personal access token.

Hacktron envoie des alertes en temps réel dans Slack et crée des tickets Jira et Linear, pour que la remédiation s'inscrive dans le workflow que votre équipe utilise déjà. Dans Slack, vous pouvez aussi trier les résultats directement dans le fil de discussion.

Oui. Hacktron dispose d'une API REST publique avec des clés API au niveau de l'organisation pour déclencher des scans, récupérer et exporter les résultats, et gérer les dépôts.

Oui. Ajoutez un fichier .hacktron/rules.md à votre dépôt, ou téléversez des documents de contexte en markdown et liez-les à vos dépôts, pour indiquer à Hacktron votre stack, vos conventions et ce qui compte le plus lors de la revue.

Oui. Hacktron propose une édition on-premise qui s'exécute entièrement dans votre propre infrastructure, avec des comptes locaux.

Pour les scans cloud, Hacktron clone votre dépôt dans un environnement de scan isolé pour l'analyser et stocke les résultats obtenus (y compris les extraits de code pertinents) dans votre compte Hacktron. Si votre code doit rester dans votre propre environnement, utilisez l'édition on-premise.

Connectez-vous avec Google, GitHub ou par e-mail et mot de passe. L'édition on-premise utilise des comptes locaux.

Oui. Hacktron est multi-tenant avec des organisations, des invitations de membres et un contrôle d'accès basé sur les rôles entre propriétaires, administrateurs et membres.

Oui. Hacktron a obtenu la certification SOC 2 Type 1. Lire l'annonce.

Oui. Hacktron inclut un essai gratuit de 14 jours.

Hacktron est tarifé par siège de développeur, les pentests étant prélevés sur un solde de crédits pentest distinct. Démarrez un essai gratuit ou réservez une démo pour connaître les tarifs en vigueur.

Oui. Grâce au programme Hacktron Open Source, les mainteneurs de dépôts publics éligibles peuvent bénéficier gratuitement des revues de sécurité de PR. Déposez votre candidature sur notre page Open Source.