Feedback sobre herramienta local de pre-auditoría de seguridad en Python

Discusión general
1

Buenas,

Estoy desarrollando una herramienta open source en Python llamada Pre-Auditor IA Pro.

La idea es hacer una primera revisión local de riesgos en proyectos con APIs, CI/CD, cloud, automatizaciones e integraciones de IA.

El objetivo no es sustituir una auditoría experta, sino ayudar a detectar patrones de riesgo y generar un informe inicial para priorizar una revisión manual.

Funciona en local y no sube el código a servidores externos.

Incluye, entre otras cosas:

  • detección de secretos y credenciales expuestas

  • revisión de CORS, endpoints, JWT y configuraciones inseguras

  • checks sobre GitHub Actions y supply chain

  • patrones relacionados con agentes IA, prompts, RAG y validación de salidas

  • dashboard local

  • exportación a Markdown, HTML, PDF, JSON y SARIF

  • baseline y comparativas para seguimiento de remediación

  • interfaz web local

  • reglas personalizadas YAML/JSON

El repositorio está aquí:

Me gustaría recibir feedback técnico, especialmente sobre:

  • instalación como paquete Python

  • uso con pip/pipx

  • claridad del README

  • posibles falsos positivos

  • reglas que tendría sentido añadir

  • estructura del proyecto

Gracias de antemano.

2

Hola!

Le di una mirada al Readme y se ve interesante (y extenso :sweat_smile:)
Mañana lo pruebo en un proyecto y te comento que tal.

3

Buenas! Recién la probé.

preauditor . \
        --profile pro \
        --client "Trak" \
        --auditor "Marco Richetta" \
        --scope "Pre-auditoria de seguridad aplicacion/API/CI-CD" \
        --report-version "2026.05" \
        --deliverable ACME-preauditoria-2026-05 \
        --fail-on never

El resumen en HTML me gustó. Las detecciones también aunque lo probé en un proyecto Django, que no es de los soportados.

Sección sobre AI Risk Score

No sé por qué salió ya que no lo ejecuté con la opción de Ollama.

AI Agent Risk Score
50/100 — Medio
secretos inyectados en CI, OIDC write en CI, autonomia elevada, posible ejecucion de codigo influida por IA

Me detectó errores en un .env que está gitignored.

Creo que esto es un error porque esas credenciales no se suben al repo.
Esperaría que no lo detecte por defecto y que se le pueda pasar la opción de detectarlos (--ignore-git o algo similar)

2da ejecución

Cuando lo ejecuté por 2da vez, detectó errores de seguridad en el archivo ACME-preauditoria-2026-05/hallazgos.json, que fue generado por el informe anterior.