Skip to content

🌐 Cette page n'est pas encore traduite en français. Affichage de la référence portugaise (BR). Aidez-nous à traduire.

RoqueShield Servidor Opt-in Admin

O RoqueShield é a ferramenta de teste de intrusão (pentest) com IA do RoqueOS. Ele escaneia seus ativos — domínio, URL, repositório git, imagem/container Docker, host — com um arsenal de scanners de segurança, tria os achados com Inteligência Artificial, e entrega relatórios prontos pro time técnico e pra auditoria (OWASP Top 10, PCI DSS 4.0, LGPD). Roda no seu próprio servidor RoqueOS — seus dados de segurança nunca saem da sua infraestrutura.

Apenas administradores · apenas alvos autorizados

O RoqueShield é uma ferramenta de pentest: visível e utilizável somente por administradores, e somente contra ativos que você possui ou está formalmente autorizado a testar. Cada scan exige uma confirmação explícita de autorização.

Por que isso é útil

Em vez de contratar uma varredura pontual cara ou montar um laboratório de ferramentas (nmap, ZAP, Nuclei, Trivy…), o RoqueShield reúne tudo num app só, com IA que explica cada vulnerabilidade, prioriza por risco real e mapeia pra norma de compliance — direto do seu servidor.


O que ele faz

  • Escaneia vários tipos de alvo: site/domínio, URL, repositório git, imagem ou container Docker, host de rede.
  • ~14 scanners orquestrados: nmap, OWASP ZAP, Nuclei, Trivy, Gitleaks, Trufflehog, Checkov, dnstwist, Greenbone/OpenVAS, e mais.
  • Triagem por IA: cada achado é analisado por um modelo (qualquer provedor — OpenAI, Anthropic, OpenRouter — ou uma LLM local como LM Studio/Ollama, pra privacidade total). A IA ajusta a severidade, explica o impacto de negócio e sugere a correção.
  • Relatórios: técnico (HTML) + executivo de compliance + um AI Fix Bundle (JSON) que outra IA (Claude Code, Cursor) consome pra corrigir o código com re-verificação.
  • Progresso ao vivo: você acompanha as fases do scan (nmap → ZAP → triagem IA → relatório) e os achados aparecendo em tempo real.

Como começar

  1. Ative no servidor: o RoqueShield é opt-in. No instalador, use --with-pentest (ou ligue ENABLE_PENTEST=true). Ele sobe um conjunto de containers no seu servidor automaticamente.
  2. Abra o RoqueShield no Launchpad (visível só pra administradores quando o servidor reporta a capacidade).
  3. Configure a IA (uma vez): no painel de provedores, cole a chave do seu provedor de IA ou aponte pra uma LLM local. Sem chave, o scan roda mesmo assim — só a triagem por IA é pulada.
  4. Novo scan: escolha o tipo de alvo, informe o alvo, confirme que você está autorizado a testá-lo (esse é o passo obrigatório), e inicie. A referência de autorização logo abaixo da confirmação é opcional — deixe em branco e a própria confirmação fica registrada no log de auditoria, ou informe um ticket/aprovação formal quando o engajamento exigir.

Relatório executivo & compliance

Quando um scan termina, o RoqueShield mostra a postura de risco e o mapeamento de compliance — exatamente o que um time de segurança e auditores precisam:

  • Nota de postura A–F (nunca melhor que D com um achado crítico aberto) + o maior CVSS observado.
  • OWASP Top 10 2021 — cada achado classificado na categoria correspondente.
  • PCI DSS 4.0 — os requisitos tocados pelos achados (ex.: 6.2.4, 4.2.1, 8.3.1).
  • LGPD — artigos impactados (Art. 46/47/48) quando há exposição de dados pessoais.
  • CWE Top 25 — quais das fraquezas mais perigosas estão presentes.

Tudo disponível também como JSON (/reports/{id}/compliance) pra plugar no fluxo de GRC/SIEM, e um relatório executivo HTML pra stakeholders.

Abrir e salvar o relatório

Quando o scan termina, os botões de relatório (PDF, Markdown, JSON, CSV) aparecem no painel do scan:

  • PDF abre o relatório formatado num visor em tela cheia; toque em "Salvar PDF" pra exportar como PDF de verdade — no iPhone/iPad isso usa a folha de impressão nativa ("Salvar em Arquivos" ou compartilhar). Funciona em celular, tablet e desktop.
  • Markdown / JSON / CSV abrem no editor do RoqueOS — prontos pro seu fluxo (GRC, SIEM, ou pra outra IA consumir o AI Fix Bundle).

Scanning autenticado (atrás de login)

Boa parte da superfície de um sistema fica atrás do login. O RoqueShield escaneia áreas autenticadas:

  • No Novo scan, ative "Scanning autenticado" e cole os headers de sessão (um por linha — Cookie: …, Authorization: Bearer …) e, opcionalmente, uma URL OpenAPI/Swagger pra enumerar a superfície real da API.
  • Os scanners passam a injetar esses headers em cada requisição, alcançando o que só usuários logados veem.

Seus segredos não são guardados

Os headers de sessão são usados apenas durante o scan e nunca são salvos no servidor — eles não entram no registro do scan nem no banco. Valores de Cookie/Authorization também são redigidos de qualquer evidência ou prompt de IA.


Segurança e responsabilidade

  • Apenas administradores, de ponta a ponta.
  • Apenas alvos autorizados — confirmação obrigatória por scan, com referência de autorização (ticket/aprovação) registrada num log de auditoria imutável.
  • Proteções embutidas: bloqueio de alvos privados/loopback/IMDS (anti-SSRF), allow-list de alvos, e um scrubber de PII/PCI que redige CPF, CNPJ, cartões, tokens e cookies antes de qualquer coisa chegar a uma IA externa.
  • Privacidade máxima: use uma LLM local e os achados nunca saem do seu servidor.

Perguntas frequentes

Preciso de uma chave de IA? Não para escanear — os scanners rodam sem IA. A chave (ou uma LLM local) habilita a triagem inteligente, que é o grande diferencial: ela prioriza, explica e sugere correções.

Meus dados de segurança vão pra nuvem? Não. O RoqueShield roda no seu servidor. Com uma LLM local, nem a triagem sai da sua infraestrutura. Com um provedor de nuvem, só o resumo já redigido (sem PII) do achado é enviado.

Posso escanear qualquer site? Não. Só ativos que você possui ou está formalmente autorizado a testar — é a lei e é o contrato de uso da ferramenta. Cada scan exige confirmação.

Como corrijo o que ele encontra? Baixe o AI Fix Bundle (JSON) e entregue a uma IA de código (Claude Code, Cursor, Copilot): ela aplica os patches seguindo as instruções por achado, com re-verificação.


Veja também