🌐 Diese Seite wurde noch nicht ins Deutsche übersetzt. Portugiesische (BR) Referenz wird angezeigt. Hilf bei der Übersetzung.
RoqueShield Servidor Opt-in Admin
O RoqueShield é a ferramenta de teste de intrusão (pentest) com IA do RoqueOS. Ele escaneia seus ativos — domínio, URL, repositório git, imagem/container Docker, host — com um arsenal de scanners de segurança, tria os achados com Inteligência Artificial, e entrega relatórios prontos pro time técnico e pra auditoria (OWASP Top 10, PCI DSS 4.0, LGPD). Roda no seu próprio servidor RoqueOS — seus dados de segurança nunca saem da sua infraestrutura.
Apenas administradores · apenas alvos autorizados
O RoqueShield é uma ferramenta de pentest: visível e utilizável somente por administradores, e somente contra ativos que você possui ou está formalmente autorizado a testar. Cada scan exige uma confirmação explícita de autorização.
Por que isso é útil
Em vez de contratar uma varredura pontual cara ou montar um laboratório de ferramentas (nmap, ZAP, Nuclei, Trivy…), o RoqueShield reúne tudo num app só, com IA que explica cada vulnerabilidade, prioriza por risco real e mapeia pra norma de compliance — direto do seu servidor.
O que ele faz
- Escaneia vários tipos de alvo: site/domínio, URL, repositório git, imagem ou container Docker, host de rede.
- ~14 scanners orquestrados: nmap, OWASP ZAP, Nuclei, Trivy, Gitleaks, Trufflehog, Checkov, dnstwist, Greenbone/OpenVAS, e mais.
- Triagem por IA: cada achado é analisado por um modelo (qualquer provedor — OpenAI, Anthropic, OpenRouter — ou uma LLM local como LM Studio/Ollama, pra privacidade total). A IA ajusta a severidade, explica o impacto de negócio e sugere a correção.
- Relatórios: técnico (HTML) + executivo de compliance + um AI Fix Bundle (JSON) que outra IA (Claude Code, Cursor) consome pra corrigir o código com re-verificação.
- Progresso ao vivo: você acompanha as fases do scan (nmap → ZAP → triagem IA → relatório) e os achados aparecendo em tempo real.
Como começar
- Ative no servidor: o RoqueShield é opt-in. No instalador, use
--with-pentest(ou ligueENABLE_PENTEST=true). Ele sobe um conjunto de containers no seu servidor automaticamente. - Abra o RoqueShield no Launchpad (visível só pra administradores quando o servidor reporta a capacidade).
- Configure a IA (uma vez): no painel de provedores, cole a chave do seu provedor de IA ou aponte pra uma LLM local. Sem chave, o scan roda mesmo assim — só a triagem por IA é pulada.
- Novo scan: escolha o tipo de alvo, informe o alvo, confirme que você está autorizado a testá-lo (esse é o passo obrigatório), e inicie. A referência de autorização logo abaixo da confirmação é opcional — deixe em branco e a própria confirmação fica registrada no log de auditoria, ou informe um ticket/aprovação formal quando o engajamento exigir.
Relatório executivo & compliance
Quando um scan termina, o RoqueShield mostra a postura de risco e o mapeamento de compliance — exatamente o que um time de segurança e auditores precisam:
- Nota de postura A–F (nunca melhor que D com um achado crítico aberto) + o maior CVSS observado.
- OWASP Top 10 2021 — cada achado classificado na categoria correspondente.
- PCI DSS 4.0 — os requisitos tocados pelos achados (ex.: 6.2.4, 4.2.1, 8.3.1).
- LGPD — artigos impactados (Art. 46/47/48) quando há exposição de dados pessoais.
- CWE Top 25 — quais das fraquezas mais perigosas estão presentes.
Tudo disponível também como JSON (/reports/{id}/compliance) pra plugar no fluxo de GRC/SIEM, e um relatório executivo HTML pra stakeholders.
Abrir e salvar o relatório
Quando o scan termina, os botões de relatório (PDF, Markdown, JSON, CSV) aparecem no painel do scan:
- PDF abre o relatório formatado num visor em tela cheia; toque em "Salvar PDF" pra exportar como PDF de verdade — no iPhone/iPad isso usa a folha de impressão nativa ("Salvar em Arquivos" ou compartilhar). Funciona em celular, tablet e desktop.
- Markdown / JSON / CSV abrem no editor do RoqueOS — prontos pro seu fluxo (GRC, SIEM, ou pra outra IA consumir o AI Fix Bundle).
Scanning autenticado (atrás de login)
Boa parte da superfície de um sistema fica atrás do login. O RoqueShield escaneia áreas autenticadas:
- No Novo scan, ative "Scanning autenticado" e cole os headers de sessão (um por linha —
Cookie: …,Authorization: Bearer …) e, opcionalmente, uma URL OpenAPI/Swagger pra enumerar a superfície real da API. - Os scanners passam a injetar esses headers em cada requisição, alcançando o que só usuários logados veem.
Seus segredos não são guardados
Os headers de sessão são usados apenas durante o scan e nunca são salvos no servidor — eles não entram no registro do scan nem no banco. Valores de Cookie/Authorization também são redigidos de qualquer evidência ou prompt de IA.
Segurança e responsabilidade
- Apenas administradores, de ponta a ponta.
- Apenas alvos autorizados — confirmação obrigatória por scan, com referência de autorização (ticket/aprovação) registrada num log de auditoria imutável.
- Proteções embutidas: bloqueio de alvos privados/loopback/IMDS (anti-SSRF), allow-list de alvos, e um scrubber de PII/PCI que redige CPF, CNPJ, cartões, tokens e cookies antes de qualquer coisa chegar a uma IA externa.
- Privacidade máxima: use uma LLM local e os achados nunca saem do seu servidor.
Perguntas frequentes
Preciso de uma chave de IA? Não para escanear — os scanners rodam sem IA. A chave (ou uma LLM local) habilita a triagem inteligente, que é o grande diferencial: ela prioriza, explica e sugere correções.
Meus dados de segurança vão pra nuvem? Não. O RoqueShield roda no seu servidor. Com uma LLM local, nem a triagem sai da sua infraestrutura. Com um provedor de nuvem, só o resumo já redigido (sem PII) do achado é enviado.
Posso escanear qualquer site? Não. Só ativos que você possui ou está formalmente autorizado a testar — é a lei e é o contrato de uso da ferramenta. Cada scan exige confirmação.
Como corrijo o que ele encontra? Baixe o AI Fix Bundle (JSON) e entregue a uma IA de código (Claude Code, Cursor, Copilot): ela aplica os patches seguindo as instruções por achado, com re-verificação.
Veja também
- Modo Servidor — como ativar o servidor RoqueOS.
- Containers / App Store — o motor de stacks que sobe o RoqueShield.