Open Source EASM EASM open source

CASM — Continuous Attack Surface Monitoring CASM — Surveillance continue de la surface d'attaque

Know your attack surface. Track what changed. Connaissez votre surface d'attaque. Suivez les changements.

CASM is a free, open source External Attack Surface Management tool that continuously discovers, verifies, and tracks your organization's internet-facing assets — so nothing slips through the cracks. CASM est un outil gratuit et open source de gestion de la surface d'attaque externe qui découvre, vérifie et suit en continu les actifs exposés sur Internet de votre organisation — pour que rien ne passe entre les mailles du filet.

View on GitHub Voir sur GitHub

The Problem Le problème

The Attack Surface Problem Le problème de la surface d'attaque

Most organizations don't know their complete external attack surface. Subdomains are created and forgotten. DNS records drift. Certificates expire. Services are exposed without anyone noticing.

Shadow IT, cloud sprawl, and third-party integrations widen the gap between what you think is exposed and what actually is. Attackers only need to find one blind spot.

La plupart des organisations ne connaissent pas l'ensemble de leur surface d'attaque externe. Des sous-domaines sont créés puis oubliés. Les enregistrements DNS dérivent. Les certificats expirent. Des services sont exposés sans que personne ne s'en aperçoive.

Le Shadow IT, l'expansion cloud et les intégrations tierces creusent l'écart entre ce que vous pensez être exposé et ce qui l'est réellement. Les attaquants n'ont besoin que d'un seul angle mort.

The Solution La solution

Continuous Visibility with CASM Visibilité continue avec CASM

CASM continuously maps your attack surface through DNS enumeration, certificate transparency monitoring, HTTP verification, and port scanning. Every finding is backed by evidence.

Compare scans over time to detect new assets, configuration changes, and emerging risks. Generate professional PDF reports and machine-readable SARIF output for seamless integration into your security workflow.

CASM cartographie en continu votre surface d'attaque grâce à l'énumération DNS, la surveillance de la transparence des certificats, la vérification HTTP et le balayage de ports. Chaque découverte est étayée par des preuves.

Comparez les analyses dans le temps pour détecter les nouveaux actifs, les changements de configuration et les risques émergents. Générez des rapports PDF professionnels et des sorties SARIF lisibles par machine pour une intégration fluide dans votre workflow de sécurité.

Origin Story Notre histoire

Why We Built CASM Pourquoi nous avons créé CASM

We built CASM because we kept running into the same problem: organizations had no reliable way to continuously track their external attack surface. Subdomains were created and forgotten. DNS records drifted. Certificates expired. Security teams were flying blind.

Existing EASM tools were either prohibitively expensive ($50K-$200K/year), closed-source black boxes, or lacked the evidence-based reporting needed to act with confidence. We needed something transparent, auditable, and designed for practitioners.

So we built CASM. We open sourced it because we believe security tools should be owned by the people who use them. Today, CASM is used by security teams, IT teams, and compliance teams who need continuous visibility into their external attack surface.

Nous avons créé CASM parce que nous rencontrions sans cesse le même problème : les organisations n'avaient aucun moyen fiable de suivre en continu leur surface d'attaque externe. Des sous-domaines étaient créés puis oubliés. Les enregistrements DNS dérivaient. Les certificats expiraient. Les équipes de sécurité naviguaient à l'aveugle.

Les outils EASM existants étaient soit prohibitivement coûteux (50 000 $ à 200 000 $/an), soit des boîtes noires à source fermée, ou manquaient de rapports fondés sur des preuves nécessaires pour agir avec confiance. Nous avions besoin de quelque chose de transparent, auditable et conçu pour les praticiens.

Nous avons donc créé CASM. Nous l'avons rendu open source parce que nous croyons que les outils de sécurité doivent appartenir aux personnes qui les utilisent. Aujourd'hui, CASM est utilisé par des équipes de sécurité, des équipes TI et des équipes de conformité qui ont besoin d'une visibilité continue sur leur surface d'attaque externe.

Capabilities Fonctionnalités

Discover. Verify. Track. Découvrir. Vérifier. Suivre.

Discover Découvrir

  • DNS enumerationÉnumération DNS
  • Certificate Transparency monitoringSurveillance Certificate Transparency
  • Zone transfer detectionDétection de transfert de zone
  • Subdomain brute-forcingBrute-force de sous-domaines
  • Multi-source correlationCorrélation multi-sources

Verify Vérifier

  • HTTP header analysisAnalyse des en-têtes HTTP
  • TLS certificate verificationVérification des certificats TLS
  • Redirect chain followingSuivi des chaînes de redirection
  • Port scanningBalayage de ports
  • Evidence-based findingsDécouvertes basées sur des preuves

Track Suivre

  • Baseline comparisonComparaison de référence
  • PDF report generationGénération de rapports PDF
  • SARIF 2.1.0 outputSortie SARIF 2.1.0
  • Trend analysisAnalyse de tendances
  • Remediation trackingSuivi des remédiations

Differentiators Différenciateurs

Why CASM is Different Pourquoi CASM est différent

Built for practitioners who need actionable results, not dashboards full of noise. Conçu pour les praticiens qui ont besoin de résultats exploitables, pas de tableaux de bord remplis de bruit.

  • Baseline ComparisonComparaison de référence
    Compare any two scans to see exactly what appeared, disappeared, or changed. Comparez deux analyses pour voir exactement ce qui est apparu, disparu ou a changé.
  • Evidence-First ApproachApproche fondée sur les preuves
    Every finding includes raw evidence — DNS records, HTTP headers, TLS details — so you can validate without re-testing. Chaque découverte inclut des preuves brutes — enregistrements DNS, en-têtes HTTP, détails TLS — pour valider sans retester.
  • Professional ReportsRapports professionnels
    Generate executive-ready PDF reports alongside machine-readable SARIF for toolchain integration. Générez des rapports PDF prêts pour la direction et des fichiers SARIF lisibles par machine pour l'intégration dans votre chaîne d'outils.
  • Open Source & TransparentOpen source et transparent
    AGPL v3 licensed. Audit the code, contribute improvements, or run it on your own infrastructure. Licence AGPL v3. Auditez le code, contribuez des améliorations ou exécutez-le sur votre propre infrastructure.
  • Security-First DesignConception sécurité avant tout
    No data leaves your environment. No cloud dependencies. No telemetry. You own your results. Aucune donnée ne quitte votre environnement. Aucune dépendance cloud. Aucune télémétrie. Vos résultats vous appartiennent.

Technical Details Détails techniques

Technical Specifications Spécifications techniques

LanguagesLangages Python Go
Output FormatsFormats de sortie PDF, SARIF 2.1.0, Markdown, JSONL
ProtocolsProtocoles DNS, HTTP/HTTPS, TCP
RequirementsPrérequis Python 3.11+, Go 1.21+
LicenseLicence AGPL v3
PlatformPlateforme Linux, macOS

Use Cases Cas d'utilisation

Built for Security and IT Teams Conçu pour les équipes de sécurité et TI

Security Teams Équipes de sécurité

Maintain continuous visibility over your organization's external assets. Detect shadow IT, expired certificates, and misconfigured services before attackers do. Maintenez une visibilité continue sur les actifs externes de votre organisation. Détectez le Shadow IT, les certificats expirés et les services mal configurés avant les attaquants.

DevSecOps Teams Équipes DevSecOps

Integrate attack surface monitoring into your CI/CD pipelines. Use SARIF output for automated security gates and track infrastructure drift across deployments. Intégrez la surveillance de la surface d'attaque dans vos pipelines CI/CD. Utilisez la sortie SARIF pour des contrôles de sécurité automatisés et suivez la dérive d'infrastructure entre les déploiements.

Compliance & Audit Conformité et audit

Satisfy regulatory requirements for external asset inventory and continuous monitoring. Generate audit-ready documentation with timestamped evidence trails. Satisfaites les exigences réglementaires d'inventaire des actifs externes et de surveillance continue. Générez une documentation prête pour l'audit avec des pistes de preuves horodatées.

Get Started with CASM Démarrer avec CASM

Whether you run it yourself or need expert help, we have you covered. Que vous l'exécutiez vous-même ou que vous ayez besoin d'aide experte, nous avons ce qu'il vous faut.

Open Source Open source

Clone the repository, run your first scan, and start mapping your attack surface in minutes. Community support via GitHub Issues. Clonez le dépôt, lancez votre première analyse et commencez à cartographier votre surface d'attaque en quelques minutes. Support communautaire via GitHub Issues.

View on GitHub Voir sur GitHub

Professional Services Services professionnels

Need help deploying CASM at scale, interpreting results, or integrating into your security program? Our team is here to help. Besoin d'aide pour déployer CASM à grande échelle, interpréter les résultats ou l'intégrer dans votre programme de sécurité? Notre équipe est là pour vous aider.

Contact Us Contactez-nous