Zum Hauptinhalt springen

Für Kanzleien & technische Prüfer

Wenn das NDA verbietet, Mandantencode hochzuladen.

Technische Due-Diligence, M&A-Code-Review, IP-Streitfälle, Mandate von Prüfgesellschaften — Ihr NDA verbietet ausdrücklich, Mandanten-Quellcode an ein Drittanbieter-SaaS zu senden. StaticCodeAudit läuft auf Ihrem Laptop. Ende der Diskussion.

Der Anwendungsfall 1 Binary, N Mandanten

Mit einer einzigen StaticCodeAudit-Lizenz können Sie beliebig viele verschiedene Mandanten-Codebases prüfen. Das Tool läuft lokal auf Ihrem Laptop — der Code Ihres Mandanten verlässt Ihren Rechner nie, und am Ende des Mandats übergeben Sie einen PDF/HTML-Bericht vollständig in Ihrem Branding.

⚖️

Kanzleien (IP, M&A)

Source-Code-Escrow-Review, Patentverletzungsanalyse, Due-Diligence eines Targets — alles unter Mandantengeheimnis. Cloud-SAST = Bruch des Mandantengeheimnisses.

🔬

Technische Due-Diligence

Tech-DD für PE/VC-Fonds, Codequalitätsbewertung vor einer Akquisition. Der Quellcode des Targets wird unter strengem NDA geteilt — ihn auf ein SaaS hochzuladen lässt die Transaktion platzen.

📋

Prüfgesellschaften (Cybersecurity, Compliance)

ISO 27001 / SOC 2 / DSGVO-Audits, bei denen der Mandant die Prüfung vor Ort wünscht, ohne Datenverkehr, der sein Netzwerk verlässt.

White-Label für Ihre Berichte

Konfigurieren Sie Tool-Name, Firmennamen, Logo, Dateipräfix und Favicon in audit.config.json. Der HTML-Bericht wird in Ihrem Branding ausgeliefert, nicht in unserem. Ihr Mandant sieht einen Prüfbericht von Ihrer Kanzlei, angetrieben von einem Tool, dessen Existenz er nicht einmal kennen muss.

White-Label-Branding ist in jedem kostenpflichtigen Tier (ab Solo) kostenlos enthalten.

Preise für Prüfer

Das Tier Solo Plus (1 590 €/Jahr) deckt 2 Maschinen und 100 K SLOC pro Scan ab — meist ausreichend für einen freiberuflichen Berater, der parallel mehrere Mandanten betreut.

Für Prüfgesellschaften mit mehreren parallelen Mandaten ist Team (3 990 €/Jahr, 4 500 Dateien / 500 K SLOC) oder Team Plus (11 990 €/Jahr, 10 K Dateien / 2 M SLOC) typischerweise das passende Format. Preismodell ansehen.

Warum SaaS-SAST unter den meisten NDAs ein No-Go ist

Die meisten mit Audit-Mandanten unterzeichneten NDAs verbieten die Übermittlung von Quellcode an Dritte — explizit oder implizit über Klauseln zu Verarbeitung, Speicherung und Subauftragnehmern. SaaS-SAST-Tools (Snyk Code, SonarCloud, GitHub Advanced Security) laden Quellcode zur Analyse in die Infrastruktur des Anbieters hoch. Der Anbieter wird zum Subauftragnehmer der Mandantendaten, was typischerweise erfordert:

  • Den SAST-Anbieter zur Liste autorisierter Subauftragnehmer des Mandanten hinzuzufügen (oft abgelehnt).
  • Den Mandats-DPA / Anhang F zu aktualisieren, um den Upload offenzulegen.
  • Nachzuweisen, dass SOC 2 / ISO 27001-Zertifizierungen des Anbieters das Niveau des Mandanten erfüllen.
  • Honorare neu zu verhandeln, falls das Anbieter-Pricing das Mandanten-Datenvolumen offenlegt.
  • Aufbewahrungs- und Löschverfahren des Anbieters zu auditieren.

StaticCodeAudit eliminiert diese gesamte Kette: die Binary läuft auf der Maschine des Prüfers (oder einem vom Mandanten gestellten Arbeitsplatz), kein Upload, keine Drittverarbeitung. Der bestehende NDA deckt diesen Fall bereits ab — kein Nachtrag nötig.

Audit-Lieferobjekte, die ein Regulator (oder Richter) akzeptiert

  • Eigenständiger HTML-Bericht mit brandfähigem Header — öffnet sich in jedem Browser, keine Internetverbindung zur Ansicht erforderlich.
  • SARIF JSON (OASIS-Standard) — maschinenlesbar, integriert in das bestehende GRC oder Vulnerability-Tracker des Mandanten.
  • SBOM (CycloneDX) — erforderlich für Software-Supply-Chain-Attestierungen unter dem aktuellen NIS2 und der US Executive Order 14028.
  • Historischer Baseline-Vergleich — zeigt « was sich zwischen v1.2 und v1.3 geändert hat » im selben Bericht.
  • CWE- / OWASP- / ISO-27001- / ASVS- / NIST-CSF-Mapping pro Finding — jedes Issue ist auf einen veröffentlichten Standard rückverfolgbar, den Gerichte und Regulatoren anerkennen.

Jeder Bericht ist eine einzelne .html-Datei, die mit Mandatsbrief, Arbeitspapieren und finaler Stellungnahme archiviert werden kann. Kein externes CDN, keine Remote-Skripte — funktioniert in einem versiegelten Evidenz-Raum.

Häufige Fragen (Kanzleien)

Macht StaticCodeAudit während der Analyse ausgehende Netzwerk-Aufrufe?

Null. Die Binary initiiert während eines Scans weder HTTP, DNS noch irgendeinen Netzwerk-Aufruf. Verifizierbar mit tcpdump -i any host www.codefixture.com während ein Scan läuft — die Capture-Datei wird leer sein. Diese Aussage ist Teil unserer öffentlichen Haltung und wir begrüßen die Verifikation durch Ihr Tech-Team.

Können wir StaticCodeAudit auf einem vom Mandanten gestellten Arbeitsplatz ausführen?

Ja. Die Binary ist portabel: legen Sie sie auf den Arbeitsplatz, starten Sie sie, kopieren Sie den HTML-Bericht in Ihre Audit-Akte zurück. Keine Installation, keine Admin-Rechte erforderlich, keine Registry-Änderungen unter Windows. Wenn der Mandanten-Arbeitsplatz air-gapped ist, läuft die Binary trotzdem.

Was muss der Prüfer dem Mandanten im Rahmen des Mandats liefern?

Typisch: den Mandatsbrief; die genutzte StaticCodeAudit-Lizenz (einer unserer kostenpflichtigen Tiers); den Binary-Hash (SHA-256, den wir auf unserer Download-Seite veröffentlichen); und den HTML-Bericht selbst. Der Mandant kann den Hash verifizieren, um zu bestätigen, dass die Binary unverändert ist.

Kann der Bericht vor Lieferung an den Mandanten redigiert werden?

Ja. Der HTML-Bericht ist Klartext — Sie können ihn in jedem Editor öffnen und Abschnitte entfernen (z.B. Findings, die der Prüfer als außerhalb des Scopes beurteilt). Das SARIF JSON ist ebenfalls editierbar. Das « Audit-Akten »-Format erlaubt es, jedes Artefakt vor der Freigabe zu prüfen und zu redigieren.

Beeinflusst die Nutzung von StaticCodeAudit das juristische Gewicht unserer Stellungnahme?

Sie stärkt es. Jedes Finding ist auf einen öffentlich anerkannten Standard (CWE, ASVS, OWASP) gemappt. Wenn Sie behaupten « keine Findings mit hohem Schweregrad gegen ASVS v5 §4 », ist diese Aussage reproduzierbar durch einen anderen Prüfer, der dasselbe Tool auf demselben Code ausführt. SaaS-Tools führen hingegen ein opakes ML-Modell aus — Sie können die Analyse ohne Zugriff auf die Anbieter-Cloud nicht reproduzieren.

Brauchen Sie einen Musterbericht für ein Mandantenmandat?

Öffnen Sie die Live-Demo, im White-Label in den Farben Ihrer Kanzlei. Oder buchen Sie eine 20-minütige Vorführung, bei der wir StaticCodeAudit auf einem Codebeispiel ausführen, das Sie mitbringen.

Live-Bericht öffnen Vorführung buchen