Secrets dans le diff
Clés API collées dans des exemples, fichiers .env commit par erreur — le genre de chose que gitleaks détecte et que ton copilote reproduit gentiment.
Alpha privée — premiers retours en cours
L'audit qui atteste de ton code, dès le premier commit.
L'audit sécurité indie-friendly, pensé pour les codebases post-Cursor. Hébergé en France. Aligné avec le CRA. À partir de 19 €/mois.
- CLI open-source
- Hébergé en France
- RGPD-ready
Le problème
Les outils d'IA codent vite. Ils n'auditent pas.
Cursor et Copilot livrent du code en quelques secondes. Avec viennent des problèmes de sécurité subtils. Ton linter ne les attrape pas. Ton IDE non plus.
Injections SQL et entrées non validées
Interpolation de strings dans les requêtes, validation manquante, prototype pollution silencieusement repris du training data.
Dépendances figées sur une CVE
Versions de packages suggérées par l'autocomplétion qui matchent une CVE publiée la semaine dernière — flagguées par Trivy, ignorées partout ailleurs.
Defaults non-sûrs
CORS grand ouvert, checks d'auth oubliés sur les routes admin, JWT secrets génériques en dur dans la config — le boilerplate qui « marche chez moi ».
Comment ça marche
Trois choses qu'Attestely fait sur chaque PR.
Scanner, attester, corriger. Pas de nouveau linter à apprendre, pas de deuxième dashboard à surveiller.
Scanner
Trivy, Semgrep, gitleaks orchestrés pour toi — en local via le CLI open-source, ou en remote sur chaque pull request. Un fichier workflow, zéro glue code.
Attester
Findings dédupliqués par signature, rankés par sévérité, postés en un seul commentaire de revue qui se met à jour à chaque push. Les issues résolues se ferment toutes seules.
Corriger
Chaque finding reçoit une explication LLM dans le contexte de ton code, plus un fix suggéré à copier ou appliquer en un clic.
Trois étapes
De l'inscription à la première revue en moins de cinq minutes.
Pas de migration. Pas de call. Pas de carte bancaire.
- 1
Installe l'app GitHub
30 secondes. Permissions minimales : lecture du code et des PRs, écriture des commit statuses. Tu choisis les repos.
- 2
Ajoute le workflow
On ouvre la PR pour toi avec le workflow déjà configuré, ou tu l'ajoutes toi-même en une minute.
- 3
Ouvre une pull request
Le scan tourne, la revue arrive dans les commentaires. Aucune action requise — la sécurité s'intègre à ton flow habituel.
Tarifs
Simple. Indie-friendly. Résiliable à tout moment.
Free pour toujours pour les projets perso. Solo à 19 €/mois pour le travail indie sérieux. Studio et Team quand tu grandis.
Free
Gratuit pour toujours pour les projets perso
€0 pour toujours
- 1 repo connecté
- 5 scans de PR / mois
- Top-10 findings analysés par scan
Solo
Pour Léa : du travail indie sérieux
€19 /mo
- Jusqu'à 5 repos connectés
- 150 scans de PR / mois
- Analyse LLM complète sur chaque finding
Pro
Pour les indies multi-projets
€39 /mo
- Jusqu'à 10 repos connectés
- 500 scans de PR / mois
- Règles de dismiss partagées
Pourquoi nous faire confiance
EU-native par design. Honnête par défaut.
Hébergé à Paris
Base de données principale en France (Supabase EU). Edge workers sur le réseau EU de Cloudflare. Aucun transfert hors UE en configuration par défaut.
RGPD-native
Construit autour du RGPD dès le départ. Aligné avec le CRA. Analytics sans cookies (Plausible). Aucun pixel de tracking, aucune régie pub.
CLI sous AGPLv3
Le CLI de scan est open-source sur GitHub. Tu peux le faire tourner en local gratuitement, auditer le code, le forker. Le backend reste propriétaire.
Pas d'entraînement sur ton code
On envoie des snippets au fournisseur LLM (Anthropic) avec la politique no-training data. Les blobs bruts sont supprimés après 30 jours.
Ta prochaine pull request peut se relire toute seule.
Inscription gratuite en moins d'une minute. Le premier scan tourne dès que tu ouvres une PR.