Skip to content
Parley
🛡️

Parley

Tu blue team local para código generado por IA. Sin telemetría, sin configuración, sin concesiones.
Instalar GitHub
Qué detecta

96 reglas mapeadas a CWE y OWASP Top 10. Afinadas para lo que los asistentes de IA generan.

  1. 1Credenciales hardcodeadas — CRITICAL. Detecta passwords, API keys y tokens escritos directamente en el código
  2. 2Criptografía débil — MD5, SHA1, JWT con algoritmo None, generadores de números aleatorios inseguros
  3. 3Inyección — SQL, comandos, path traversal, SSRF, log injection, XXE

También detecta: TLS/SSL mal configurado · deserialización insegura · cookies sin flags de seguridad · CORS mal configurado. Compatible con Go · Python · TypeScript · JavaScript.

Privacidad

100% local. Nada sale de tu máquina.

0llamadas a la red
0telemetría

Sin cuenta, sin API key, sin cloud. El scanner corre completamente offline. Crítico para organizaciones con requisitos estrictos de privacidad.

Setup

Cero configuración. Funciona out of the box.

30 reglas integradas en el binario. Sin archivos de configuración obligatorios, sin tokens, sin instalación de dependencias externas. Descargás, ejecutás.

  • Homebrewbrew install pigu-ing/tap/parley
  • Go installgo install github.com/pigu-ing/parley@latest
Modos de escaneo

Directorio, archivo o staged

Tres modos según el momento del flujo de trabajo.

  • Proyecto completoparley scan . —recursive
  • Archivo únicoparley scan handlers/auth.go
  • Pre-commitparley scan —staged —severity HIGH
Filtro de severidad

5 niveles. Vos decidís el umbral.

CRITICALHIGHMEDIUMLOWINFO

Bloqueá el pipeline en CRITICAL y HIGH, notificá en MEDIUM, ignorá INFO. El umbral lo configurás con —severity.

Output

Terminal, JSON o SARIF para GitHub Security

Output coloreado en terminal para uso local. JSON para integración con cualquier sistema. SARIF 2.1.0 para el tab de Security de GitHub — los findings aparecen como alertas nativas en el repo.

  • Terminal — coloreado por severidad, con línea afectada y sugerencia de fix
  • JSON — estructurado para pipelines o dashboards propios
  • SARIF 2.1.0—format sarif —output results.sarif → GitHub Code Scanning
Extensibilidad

Reglas propias en YAML sin recompilar

Agregás reglas específicas para tu codebase o tus patrones de IA favoritos. Sin tocar Go, sin recompilar el binario.

Parley vs. la competencia

El único scanner pensado para el código que genera la IA

Tuneado para output de IA — gosec y Bandit no lo están100% offline — Semgrep tiene features cloud, Parley noZero config — Semgrep requiere reglas, gosec requiere ajustesSARIF nativo — integración directa con GitHub Code Scanning

El código de la IA es rápido. Parley se asegura de que también sea seguro.