La mayoría de herramientas de análisis de seguridad de código mandan tu código a un servidor externo para procesarlo. OASIS hace lo contrario: usa modelos de lenguaje que corren localmente a través de Ollama, así que el código no sale de tu máquina en ningún momento.

El repositorio está en GitHub bajo licencia GPL-3.0, en versión 0.6.3. Lo creó psyray y está escrito principalmente en Python.

Cómo funciona

El análisis funciona en dos fases. La primera usa modelos ligeros para un escaneo inicial rápido. La segunda carga modelos más potentes solo en los fragmentos de código que la primera fase ha marcado como sospechosos. La orquestación entre fases la gestiona LangGraph con un pipeline de seis pasos: descubrir, escanear, expandir, analizar en profundidad, verificar y generar informe, con un paso opcional de asistencia para pruebas de concepto.

Para el análisis profundo, los modelos recomendados son gemma3:27b, deepseek-r1:32b, qwen2.5-coder:32b, mistral-nemo y mixtral:instruct. Se necesita hardware con suficiente VRAM para correr estos modelos localmente.

Las vulnerabilidades que detecta incluyen SQL Injection, XSS, SSRF, RCE, IDOR, CSRF, secretos codificados, deserialización insegura y defectos de autenticación. Los informes se exportan en JSON, HTML, PDF y SARIF.

El panel web

Incluye un panel web local para revisar los hallazgos con un asistente RAG integrado: puedes hacer preguntas sobre los resultados del análisis y el sistema recupera contexto del propio codebase escaneado para responder. El asistente del panel también puede usar Ollama independientemente del modelo que se usó para el escaneo.

Para quién tiene sentido

Para equipos de AppSec, investigadores de seguridad y desarrolladores que necesitan analizar código que no pueden mandar a servicios externos, sea por política corporativa, por sensibilidad del código o simplemente por preferencia de privacidad. No es una herramienta de un clic: requiere tener Ollama instalado y modelos descargados, lo que implica tener el hardware adecuado.

Deja un comentario

Categoría

Recurso

Etiquetas

, , ,