Häufig gestellte Fragen

SAST (Static Application Security Testing) analysiert den Quellcode ohne ihn auszuführen und identifiziert Schwachstellen, Qualitätsprobleme und Konformitätsverletzungen vor dem Deployment. StaticCodeAudit führt SAST in 8 Programmiersprachen mit 698 Erkennungsregeln durch.

Nein. StaticCodeAudit läuft 100 % offline ohne externe API-Aufrufe. Ihr Quellcode verlässt nie Ihre Maschine. Die Binärdatei ist vollständig eigenständig — keine Cloud-Dienste, keine Telemetrie, kein Phone-Home.

Python, JavaScript/TypeScript, HTML (einschließlich Vue, Svelte, EJS, Jinja, Twig Templates), Java, C#, PHP und YAML (für CI/CD-Pipeline-Analyse). Jede Sprache hat dedizierte Erkennungsregeln.

Im Gegensatz zu SonarQube (das einen Server erfordert) oder ESLint (nur JavaScript) ist StaticCodeAudit ein eigenständiges Tool, das selbständige HTML-Berichte ohne Infrastruktur erstellt. Es unterstützt auch White-Label-Branding, Berichte in 4 Sprachen und CI/CD-Workflow-Analyse — alles kostenlos.

StaticCodeAudit ordnet Findings OWASP Top 10, CWE (Common Weakness Enumeration), den WCAG 2.1-Barrierefreiheitsrichtlinien, dem DSGVO-Datenschutz, OWASP CI/CD Top 10, ISO/IEC 27001:2022 Anhang A (Konformitätsmatrix mit 93 Kontrollen) und OWASP ASVS v5.0.0 (348 Anforderungen in 17 Kapiteln) zu. Es exportiert auch im SARIF 2.1.0-Format für die Integration mit GitHub- und GitLab-Sicherheitsdashboards.

Ja. White-Label-Branding ist kostenlos und integriert. Sie können den Toolnamen, Firmennamen, Logo (SVG/PNG/JPG), Dateipräfix und Favicon in der audit.config.json Ihres Projekts konfigurieren. Die generierten Berichte verwenden Ihr Branding durchgehend — einschließlich Kopfzeilen, Fußzeilen und Browser-Tab.

Die Findings sind in einer 3-Ebenen-Hierarchie organisiert: zuerst nach Schweregrad (Critical, High, Medium, Low, Info), dann nach Quelle (Geschäftscode vs Abhängigkeiten), dann nach Kategorie (Sicherheit, Architektur, UI, UX, Wartung, usw.). Jede Ebene ist einklappbar für effiziente Navigation.

Ja. Dank Regel-Cache und Hash-basierter inkrementeller Analyse sind Warm-Cache-Läufe bis zu 3× schneller als Kaltläufe. Nur seit dem letzten Scan geänderte Dateien werden neu analysiert, was StaticCodeAudit ideal für CI/CD-Pipelines und Pre-Commit-Hooks macht.

Snyk Code ist ein SaaS — Ihr Quellcode wird zur Analyse in die Cloud von Snyk hochgeladen, und der Preis skaliert pro Entwickler (25–40 $/Entwickler/Monat). StaticCodeAudit läuft zu 100 % auf Ihrer Maschine — kein Upload, keine Telemetrie — und berechnet nach Kapazität (990 € bis 11 990 €/Jahr, keine Sitzgebühr). Beide sind valide: wählen Sie Snyk, wenn Sie SaaS akzeptieren und IDE-first-Workflow möchten ; wählen Sie StaticCodeAudit, wenn Ihre Privacy-Anforderungen oder Compliance das Hochladen von Quellcode in eine Drittanbieter-Cloud verbieten.

Für ein streng offline Deployment sind die zwei Hauptoptionen StaticCodeAudit und SonarQube self-hosted. StaticCodeAudit ist ein einzelnes Binary ohne Abhängigkeiten (ab 990 €/Jahr). SonarQube self-hosted benötigt eine Java + Datenbankserver-Infrastruktur (2 500–20 000+ $/Jahr). Andere Tools (Snyk, SonarCloud, GitHub Advanced Security, Semgrep Pro, Veracode) sind nur SaaS. Bandit und ESLint-Plugins sind kostenlose OSS, decken aber nur eine Sprache ohne einheitlichen Compliance-Bericht ab.

Die Preise beginnen bei 990 €/Jahr (Solo). Solo Plus 1 590 €/Jahr, Team 3 990 €/Jahr (am beliebtesten), Team Plus 11 990 €/Jahr, Enterprise ab 30 000 €/Jahr. Alle Pläne sind Jahresabonnements ohne Sitzgebühr, ohne Installationskosten, ohne Telemetrie. Kostenlose Demo zur Evaluierung verfügbar.

Nein. Das Binary tätigt unter keinen Umständen ausgehende Netzwerkanrufe. Keine Telemetrie, keine Versionsprüfung, keine Analytik. Dies ist eine strukturelle Designentscheidung — das Binary enthält überhaupt keinen ausgehenden Netzwerkcode. Die Server→Client-Kommunikation (Regelpaket-Updates, Lizenzverlängerungen) erfolgt per E-Mail und manuelle Benutzeraktion im authentifizierten Portal. Ihr Quellcode und Ihre Audit-Ergebnisse verlassen Ihre Maschine niemals über den Analyzer.