Este artigo analisa de forma honesta as funcionalidades do otto-js (anteriormente DEVCON).
Como você está no site do cside, reconhecemos nossa parcialidade. Dito isso, construímos nossos argumentos de forma honesta e baseamos nossa análise em informações publicamente disponíveis, informações do setor e nossas próprias experiências ou as de nossos clientes.
Se você quiser verificar as afirmações deles por conta própria, acesse a página do produto.
O otto-js é um dos produtos mais próximos do cside no mercado: uma ferramenta de segurança JavaScript do lado do cliente construída em torno dos requisitos 6.4.3 e 11.6.1 do PCI DSS 4.0.1, com uma integração de uma linha e preços baixos e transparentes voltados para e-commerce de pequeno e médio porte. Achamos que é uma ferramenta legítima. Esta página é sobre onde os dois produtos diferem quando você olha além da caixa de conformidade.
| Critério | cside | otto-js | Por que importa | Quais são as consequências |
|---|---|---|---|---|
| Abordagem | Monitoramento do lado do cliente + análise de payload impulsionada por IA | Agente JavaScript do lado do cliente | Ambos rodam no navegador; a diferença é a profundidade da análise | |
| PCI DSS 6.4.3 & 11.6.1 | Full support |
Full support |
Ambos os produtos foram construídos para atender ao requisito | A conformidade é o piso, não o diferencial |
| Análise de scripts impulsionada por IA | Full support |
No support |
Detecta ameaças novas ou em evolução analisando o conteúdo do script, não apenas listando-o | Dependência de revisão manual e regras = detecção mais lenta e propensa a erros |
| Fingerprinting de dispositivos + detecção de bots / agentes de IA | Full support |
No support |
Um único fornecedor para segurança do lado do cliente e identidade de visitantes | É necessário um fornecedor separado para fraude e tráfego de agentes |
| Arquivo forense de payload & rastreamento histórico | Full support |
Não documentado | Necessário para resposta a incidentes, auditoria e para comprovar o que um ataque fez | Sem um registro de payload você tem alertas, não evidências |
| Avaliações independentes de pares (G2 / Gartner / Capterra) | Full support |
Avaliações públicas escassas | As compras empresariais verificam a validação por terceiros | Um perfil de avaliações fraco é uma interrogação em revisões de segurança |
| Dashboard PCI validado por QSA | Full support |
Não encontrado | Uma auditoria QSA independente é a prova mais confiável de que uma ferramenta está em conformidade com o PCI | Sem ela você depende de afirmações de marketing, o que pode resultar na reprovação em uma auditoria |
| Página de status pública & SLA de uptime | Full support |
Não encontrado | Você pode verificar de forma independente a confiabilidade e o histórico de incidentes antes de comprar | Nenhuma visão independente da disponibilidade |
| Preços públicos transparentes | Full support |
Full support |
Ambos os fornecedores publicam preços — uma força genuína do otto-js | Custo previsível antes da compra |
O que é o otto-js?
O otto-js, anteriormente DEVCON, é uma plataforma de segurança JavaScript do lado do cliente focada em conformidade com o PCI DSS v4 e proteção contra malvertising. Ele monitora o comportamento de scripts de primeira, terceira e n-ésima parte em tempo de execução e divulga uma integração de uma linha para automatizar as evidências do PCI DSS 6.4.3 e 11.6.1, ao lado de relatórios de SOC 2 e de risco de terceiros. Ele é voltado para equipes de e-commerce de pequeno e médio porte que precisam de uma solução PCI rápida e acessível sem uma equipe dedicada de segurança de aplicações, e integra-se com o GitHub Advanced Security e plataformas de e-commerce comuns.
É justo reconhecer: o otto-js publica seus preços abertamente (a partir de cerca de US$30/mês), o que é raro neste segmento, e é genuinamente uma ferramenta do lado do cliente equiparável, em vez de uma funcionalidade de caixa de seleção acoplada a uma plataforma maior. Não achamos que o preço seja o eixo certo para competir aqui.
Como o otto-js funciona
O otto-js implanta um agente JavaScript do lado do cliente que observa e analisa scripts à medida que carregam e são executados no navegador do visitante, exibe-os em um dashboard para revisão e oferece funcionalidades divulgadas como mitigação em tempo real. Ele gera configurações de Content Security Policy e de controle de acesso e integra varredura de vulnerabilidades em tempo de execução através do GitHub Advanced Security.
A questão em aberto honesta, e que recomendaríamos que qualquer comprador colocasse a ambos os fornecedores, é sobre profundidade e cobertura: quão completa é a visão de cada ferramenta sobre o que um script realmente faz em sessões de usuários reais, e o que ela pode lhe mostrar depois? Essa é a pergunta que separa um dashboard de conformidade de uma ferramenta de segurança.
Como o cside vai além
O otto-js foi construído para atender ao PCI DSS 6.4.3 e 11.6.1. O cside foi construído para deter ataques do lado do cliente, com a conformidade como subproduto de uma segurança real.
O cside monitora cada script em execução no navegador real e realiza análise impulsionada por IA sobre o conteúdo efetivo do script, não apenas uma lista de quais scripts estão presentes. Isso captura ameaças novas e em evolução, incluindo ataques direcionados que só são ativados sob condições específicas, como determinadas regiões geográficas, janelas de tempo ou tipos de dispositivo.
Para análise forense, o cside mantém arquivos imutáveis de cada payload de script com histórico completo de versões. Quando um auditor ou uma equipe de resposta a incidentes pergunta o que aconteceu, você tem o código real e uma linha do tempo completa, não um log de mudanças comportamentais.
O cside também vai além da segurança de scripts do lado do cliente com um produto de fingerprinting dedicado: fingerprinting de dispositivos, detecção de bots e detecção de agentes de IA, para que você possa cobrir tanto a segurança do lado do cliente quanto a identidade de visitantes a partir de um único fornecedor. E o cside publica uma página de status pública em status.cside.com, um portal de confiança público em trust.cside.com e um dashboard PCI validado por QSA, para que você possa verificar nossas afirmações por conta própria.
Cadastre-se ou agende uma demonstração para começar.
Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.
