Parcourir les catégories
Explorer
Fiverr Pro
Français
$
USD
Il semble que ce service ait été suspendu
J’auditerai vos dépendances npm ou pip pour les vulnérabilités de sécurité
États-Unis
Je parle Anglais, Espagnol
Spécialiste en cybersécurité, tests d’intrusion et audits de sécurité
Professionnel en cybersécurité proposant des tests d’intrusion, évaluations de vulnérabilités et audits de sécurité réseau. J’identifie les failles de sécurité avec des outils standard avant que les a...
À propos de ce service
Vos dépendances cachent-elles des risques de sécurité ? Les attaques récentes sur la chaîne d’approvisionnement, comme la compromission de npm axios, prouvent qu’un seul package vulnérable peut mettre à mal toute votre application.
Je vais analyser votre projet npm, pip ou container pour détecter les vulnérabilités connues, les secrets divulgués et les packages compromis en utilisant des outils professionnels tels que Semgrep, TruffleHog, GitLeaks, Nuclei, pip-audit, npm audit, Trivy, Grype et Burp Suite. Chaque détection automatisée est vérifiée manuellement pour éliminer les faux positifs.
Ce que vous obtenez :
- Un rapport d’audit de sécurité professionnel avec des évaluations de gravité CVSS
- Des étapes précises pour remédier à chaque problème
- Identification des packages compromis ou malveillants
- Détection de secrets et de fuites de crédentiels
- Revue de la configuration CI/CD et de la sécurité des containers
- Recommandations de correction prioritaires que vous pouvez appliquer immédiatement
Consultez mon portfolio pour un exemple de rapport montrant la qualité exacte des livrables.
Ce service est idéal pour :
- Startups qui avancent rapidement sans équipe de sécurité dédiée
- Équipes préparant des audits SOC 2 ou conformité
- Projets utilisant à grande échelle des dépendances open source
- Toute personne n’ayant jamais audité son arbre de dépendances
Rapide, confidentiel, approfondi.
Technologie de développement:
Autre
Expertise:
Clean code
•
Traitement des erreurs
•
Autres
Mon portfolio
FAQ
Traduction automatique
Que dois-je fournir ?
Votre fichier package.json ou requirements.txt, ainsi que l’accès à votre dépôt si vous souhaitez une analyse plus approfondie. Je peux également travailler avec des fichiers de verrouillage comme package-lock.json ou Pipfile.lock.
Mon code reste-t-il confidentiel ?
Tous les scans sont effectués localement sur mon propre matériel à l’aide d’outils de sécurité open-source. Votre code n’est jamais téléchargé sur des services tiers. Tous les fichiers sont supprimés après livraison. Je peux signer un NDA si nécessaire.
Quels langages et gestionnaires de packages supportez-vous ?
npm, pip, yarn, pipenv, et poetry. Je peux également analyser des containers Docker et des configurations CI/CD pour les niveaux Standard et Premium.
Quels outils utilisez-vous pour le scan ?
J’utilise des outils standards de l’industrie, notamment Semgrep pour l’analyse statique, TruffleHog et GitLeaks pour la détection de secrets, Nuclei pour le scan de vulnérabilités, pip-audit et npm audit pour la vérification des dépendances, Trivy et Grype pour le scan de containers, et Burp Suite pour les tests manuels. Chaque détection est vérifiée manuellement.
Recevrai-je un rapport écrit ?
Oui. Chaque package inclut un rapport d’audit de sécurité professionnel avec un résumé exécutif, des résultats détaillés avec évaluations de gravité (CVSS), des instructions étape par étape pour la reproduction, et des recommandations de remédiation prioritaires. Un exemple de rapport est disponible dans mon portfolio.
