Zum Hauptinhalt springen

Für regulierte Branchen

Wenn Ihr Code den Perimeter rechtlich nicht verlassen darf.

Verteidigung, Gesundheit (HDS), Finanzen, öffentlicher Sektor, kritische Infrastruktur — Ihre vertraglichen Verpflichtungen verbieten das Senden von Quellcode in eine Drittanbieter-Cloud. StaticCodeAudit läuft vollständig auf Ihrer Hardware. Ohne Ausnahme.

Branchen, in denen das zählt

🛡️

Verteidigung & Souveränität

Code, der durch nationale Sicherheitsrahmen klassifiziert ist, darf nicht in kommerzielle SaaS hochgeladen werden. Die meisten Cloud-SAST-Anbieter sind außerhalb des Geltungsbereichs.

Relevant: RGS (FR), DoD Instruction 8500.01, NATO STANAG 4774.

🏥

Gesundheitswesen

HDS (FR), HIPAA (US), DSGVO Art. 9 — Gesundheitsdatenflüsse von Patienten. Die Anwendungen, die diese verarbeiten, sind auditierbare Software, aber der Quellcode selbst ist oft klassifiziert.

Relevant: HDS, HIPAA, ISO 27799.

🏦

Finanzen

Logiken zur Betrugserkennung, Market-Making-Algorithmen, Risikomodelle — Code, der das geistige Eigentum ist. Ihn an einen SaaS-Analyzer zu senden, schafft eine Drittanbieter-Risiko-Angriffsfläche, die die meisten CISOs ablehnen.

Relevant: DORA, PCI-DSS, ISO 27001 Anhang A.

🏛️

Öffentlicher Sektor

RGS (FR), BSI Grundschutz (DE), Vergaberegeln, die souveränes Hosting vorschreiben und US-basierte SaaS für sensiblen Code ausschließen.

Relevant: RGS, BSI IT-Grundschutz, ENS (ES).

Was Sie erhalten

  • Null ausgehende Anrufe während der Analyse — verifizierbar mit tcpdump. Audit-Log ansehen.
  • ISO 27001:2022 Anhang A Compliance-Matrix (93 Kontrollen), vorausgefüllt im HTML-Bericht, den Sie Ihrem Auditor übergeben.
  • OWASP ASVS v5.0.0 Verifizierungsmatrix (348 Anforderungen, 17 Kapitel).
  • NIST CSF 2.0 Mapping (108 Unterkategorien) für USA/Kanada-konforme Compliance.
  • SBOM CycloneDX 1.5 Export — gefordert vom EU Cyber Resilience Act und US Executive Order 14028.
  • SARIF 2.1.0 Export mit CWE-Tags — integriert sich in GitHub/GitLab Advanced Security Dashboards.
  • Souveränes Deployment — einzelnes Binary, läuft auf Linux/macOS/Windows, ohne Docker, ohne JVM, ohne DB.
  • Vorgefertigte DPO-/Rechtsklausel für Ihre Lieferanten-Risikoakte. Hier kopieren.

Compliance-Frameworks, mit denen StaticCodeAudit übereinstimmt

Jedes Finding bringt explizite Mapping-Metadaten mit. Beim Export der SARIF oder beim Lesen des HTML ist jedes Issue rückverfolgbar zu:

ISO/IEC 27001:2022

Anhang-A-Kontrollen A.5–A.8. Findings sind mit der Kontrolle markiert, die sie belegen (z.B. A.8.4 « Zugriff auf Quellcode »).

OWASP Top 10 (2021) + ASVS v5.0.0

Standardreferenz für Anwendungssicherheit. ASVS Level 1/2/3 Anforderungen sind auf spezifische Regeln gemappt (47 Anforderungen abgedeckt).

NIST CSF 2.0

Identify-Protect-Detect-Respond-Recover. Regeln mit relevanten Subkategorien getaggt (PR.DS, DE.CM, etc.) — 108 Regeln gemappt.

CWE / CVE

100% der Builtin-Regeln tragen mindestens eine CWE-Kennung. Optionale CVE-Referenzen für Regeln, die spezifische Muster verwundbarer Bibliotheken erkennen.

WCAG 2.1 (UX/Barrierefreiheit)

Barrierefreiheits-Findings in HTML / Templates auf WCAG 2.1 Level A/AA Kriterien gemappt — nützlich für öffentliche Beschaffung.

Sektor-spezifische Frameworks (regulator-anerkannt)

  • Verteidigung / Luftfahrt — ANSSI-Leitlinien (FR), CMMC L2-L3 (US-DoD-Lieferkette), MIL-STD-1474.
  • Gesundheit — HIPAA Security Rule (US), HDS (FR), ISO 27799, FDA 510(k) Software-Validierung.
  • Finanzen / Banken — PCI-DSS v4.0 §6.2 sichere Entwicklung, DORA Art. 8 IKT-Risiko, NIS2-Richtlinie, EBA-Leitlinien zu IKT.
  • Öffentlicher Sektor — eIDAS, ISO-27001-Beschaffungsklauseln, ENISA-Leitlinien, NIS2 wesentliche Dienste.
  • Energie / Kritische Infrastrukturen — NIS2 Anhang I, NERC CIP (US-Netz), IEC 62443 (industriell), NIST SP 800-82.

Audit-Beweise, die eine Regulator-Inspektion überstehen

Der HTML-Bericht enthält das Mapping jedes Findings. Ein Inspekteur eines Regulators kann für jede einzelne Zeile Quellcode verifizieren:

  • Welche Regel ausgelöst hat (Regel-ID + Version).
  • Auf welchen Standard die Regel gemappt ist (CWE, OWASP, ISO, ASVS, NIST CSF).
  • Welcher Sanitizer oder Fix empfohlen wird (mit Code-Beispiel).
  • Den Schweregrad und die Grundlage des Schweregrads (CWE-Risikobewertung + Organisationskontext).
  • Den SHA-256-Hash der verwendeten Binary (auf unserer Download-Seite veröffentlicht).

Da jedes Artefakt Klartext oder HTML ist, kann ein Regulator das gesamte Beweispaket archivieren — kein proprietärer Viewer, kein SaaS-Dashboard, das in 5 Jahren bei einer Wiederöffnung des Audits nicht verfügbar sein könnte.

Häufige Fragen (regulierte Branchen)

Produziert StaticCodeAudit einen SARIF-Export, der mit unserem bestehenden GRC-Tool kompatibel ist?

Ja. SARIF v2.1.0 ist das OASIS-Standardformat. Tools wie ServiceNow, Jira Security, RSA Archer, MetricStream und Hyperproof verarbeiten SARIF nativ. Das CLI-Flag --export sarif produziert eine einzelne JSON-Datei neben dem HTML-Bericht.

Kann die Binary in einer Air-Gapped-Umgebung (kein Internet, kein DNS) laufen?

Ja. Die Binary hat keine Netzwerk-Code-Pfade. Sie liest Quelldateien von der Platte, schreibt einen Bericht auf die Platte, beendet sich. Geeignet für SCIF (US), Zone Restreinte (FR), sicherer Bereich (DE) und vergleichbare klassifizierte Umgebungen.

Wie steht es mit NIS2 Artikel 21 — Software-Lieferketten-Attestierungen?

StaticCodeAudit produziert ein SBOM im CycloneDX-Format (--export sbom). Kombiniert mit den SARIF-Findings ergibt dies den Nachweis « technische und organisatorische Maßnahmen », der nach NIS2 Art. 21(2)(d) für betroffene Einrichtungen erforderlich ist. Das CycloneDX-SBOM listet Abhängigkeiten mit Versionen und Hashes für die Beschaffungsketten-Attestierung.

Signieren Sie Ihre Binary, damit wir die Integrität für HIPAA / SOC 2 verifizieren können?

Ja. Jeder Binary-Release hat einen SHA-256-Hash, der auf unserer Download-Seite veröffentlicht ist (dieselbe, die über /try.php und kundenspezifische Lieferungs-URLs zugänglich ist). Für Windows ist die .exe mit einem Authenticode-Zertifikat signiert. macOS-Builds sind notariell beglaubigt. Linux-Builds liefern getrennte Signaturen.

Gibt es eine Selbstattestierung, die wir in unser SOC-2-Audit einbeziehen können?

Ja — unsere öffentliche Sicherheitsseite (/security.php) beschreibt die 100%-Offline-Architektur und die Null-Outbound-Calls-Haltung. Wir können auf Anfrage auch ein unterschriebenes Schreiben zur Aufnahme in ein SOC-2-Type-II-Evidence-Paket bereitstellen (Kontakt: contact@codefixture.com).

Sprechen Sie mit einem Sicherheitsingenieur bei CodeFixture

Wir können die Datenfluss-Klausel für Ihre Lieferantenakte unterzeichnen, StaticCodeAudit auf einer Stichprobe Ihres Codes per Screen-Sharing ausführen und Compliance-Fragen direkt beantworten.

Den Gründer direkt fragen