Changelog

Dataflow-Taint-Engine Phase 7/8 (F1 = 1,000 auf Python UND multilingual JS/Java/C#/PHP) plus 3 Supply-Chain-Regeln inspiriert vom npm-Angriff TanStack/Mistral (Mai 2026, 170 Pakete kompromittiert). Legacy-Taint-Engine entfernt (-3 519 LOC netto). Insgesamt: 700+ Regeln in 8 Kategorien.

🎯 Dataflow-Taint-Engine (Phase 7/8)

• ✓Clean-Room-Implementierung — CFG, IR 3-Adressen, Lattice und Worklist mit hybridem dotted + Regex-Matching (~6 200 LOC Code, 3 800 LOC Tests)
• ✓F1 = 1,000 auf dem internen SCA-Fixture-Korpus — null falsche Negative, null falsche Positive, auf Python UND multilingual (JS/Java/C#/PHP)
• ✓Profile-Loader (Flask, Django, Express, Spring, Laravel, .NET) automatisch nach Kategorie in Taint-Regeln injiziert — gleiche Präzision wie Snyk Code, ohne Cloud oder externe Abhängigkeit

🔒 Supply-Chain-Abdeckung (TanStack/Mistral Mai 2026)

• ✓Regel npm_git_dependency — erkennt Abhängigkeiten, die auf einen Git-Commit bei GitHub/GitLab/Bitbucket gepinnt sind und npm-Registry-Advisories umgehen
• ✓Regeln ide_config_exfil (JS + Python) — erkennen stille Schreibvorgänge in .claude/settings.json, .vscode/tasks.json, .cursor/, .aider/, .codeium/, die als Persistenzvektoren genutzt werden
• →Native präventive Abdeckung — keine Telemetrie, keine Cloud-Sandbox, jede Erkennung läuft offline auf dem Entwickler-Rechner

D.2 Performance — Regel-Cache und inkrementelle Analyse machen Warm-Cache-Läufe bis zu 3× schneller, ideal für CI/CD-Pipelines und Pre-Commit-Hooks.

⚡ Performance

• ✓Regel-Cache: geparste DSL-Regeln werden zwischen Läufen zwischengespeichert (kein erneutes Parsen)
• ✓Inkrementelle Analyse: nur seit dem letzten Scan geänderte Dateien werden neu analysiert (Inhalt-Hash)
• →Bis zu 3× schneller bei Warm-Läufen (erneute Scans unveränderten Codes)

+53 Erkennungsregeln für nicht-sicherheitsbezogene Kategorien: Architektur, Wartbarkeit, Barrierefreiheit/UX, Oberfläche/UI. Quellen: axe-core (WCAG 2.2), Ruff, Pylint, PMD, PHPMD, SonarJS, eslint-plugin-jsx-a11y, HTMLHint und SonarQube Cloud API.

📚 Neue Regeln — 8 Wellen

• ✓+16 UX/Barrierefreiheitsregeln (HTML + JSX): axe-core WCAG 2.0/2.1/2.2, aria-hidden, Viewport-Zoom, Video-Untertitel, jsx-a11y
• ✓+6 UI-Regeln (HTML): veraltete Tags, Inline-Styles, fehlender Viewport, Schaltflächentyp, target blank, Bildabmessungen
• ✓+24 Wartbarkeitsregeln: Python (Ruff/Pylint), Java (PMD), PHP (PHPMD), JavaScript (SonarJS), C# (SonarQube)
• ✓+7 Architekturregeln: Java, PHP, JavaScript, C# — Kopplung, Utility-Klassen, öffentliche Felder
• →698 Regeln insgesamt (vorher 645)

🔎 Erkennung & Abdeckung

• ✓698 Erkennungsregeln in 7 Kategorien
• ✓8 Programmiersprachen: Python, JavaScript/TypeScript, HTML, Java, C#, PHP, YAML
• ✓changelog.v2.detection.custom--create-rule) with DSL and taint propagation
• ✓changelog.v2.detection.fixtures
• ✓changelog.v2.detection.selftest--self-test) validates all fixtures on demand

🔒 Sicherheit

• ✓changelog.v2.security.owasp
• ✓changelog.v2.security.iso27001
• ✓changelog.v2.security.asvs
• ✓changelog.v2.security.cicd
• ✓changelog.v2.security.suppress# sca-ignore), config, or global disable

📤 Exporte & Integration

• ✓SARIF 2.1.0-Export für GitHub Code Scanning und GitLab SAST--sarif) — compatible with GitHub Code Scanning and GitLab SAST
• ✓SBOM-Generierung im CycloneDX 1.5-Format--sbom) — Software Bill of Materials
• ✓changelog.v2.exports.gitblame--git-blame) — committer per finding
• ✓changelog.v2.exports.hook--install-hook) — automatic audit before every commit
• ✓changelog.v2.exports.failon--fail-on-high) — exit code 1 on HIGH findings

🎯 Kernfunktionen

• ✓51 Erkennungsregeln in 7 Kategorien
• ✓4 Sprachen: Python, JavaScript/TypeScript, HTML
• ✓changelog.v1.core.reports
• ✓Baseline-Vergleich über Audit-Snapshots
• ✓changelog.v1.core.zero
• ✓changelog.v1.core.offline
• ✓changelog.v1.core.uuid--init)