8 Audit-Kategorien. 710 Regeln.
Umfassende Abdeckung von Sicherheitslücken bis zur Barrierefreiheits-Konformität.
Sicherheit
SQL-Injection, XSS, SSRF, Path Traversal, Geheimnisse, eval, Deserialisierung, schwache Krypto, Befehlsinjektion, LDAP-Injection, Cookie-Sicherheit, DSGVO-Konformität...
Architektur
Admin-Routenschutz, DB-Logik in Routern, direkte Abfragen, N+1-Muster, überdimensionierte Dateien.
Oberfläche / UI
Inline-Styles, manuelles createElement, Event-Listener-Lecks, DOM-Manipulation in Schleifen.
Barrierefreiheit / UX
ARIA-Labels, Alternativtext, Fokusverwaltung, Autoplay, i18n-Probleme, Toast-Muster, console.log-Erkennung.
Wartung
Ungelöste TODO/FIXME/HACK/XXX, veraltete APIs (5 Sprachen), Catch-All-Ausnahmen, Debug-Anweisungen, Fehlerunterdrücker.
CI/CD
GitHub Actions-Sicherheit, GitLab CI, Expression-Injection, übermäßige Berechtigungen, ungepinnte Actions.
Unterstützte Sprachen
Auf CI/CD-Geschwindigkeit ausgelegt
Regel-Cache und inkrementelle Analyse halten Ihre Pipeline schnell, auch wenn Ihre Codebasis wächst.
Regel-Cache
Geparste DSL-Regeln werden zwischen Läufen zwischengespeichert — kein erneutes Parsen bei jedem Scan.
Inkrementelle Analyse
Nur seit dem letzten Scan geänderte Dateien werden neu analysiert, identifiziert per Inhalt-Hash.
3× schneller bei Warm-Läufen
Folgescans unveränderten Codes sind bis zu 3× schneller als der initiale Kaltlauf.
Die Offline-Grenze
Klare Trennung zwischen dem, was online läuft (bei Ihrem Anbieter) und dem, was in Ihrem Netzwerk läuft (das Binary). E-Mail ist die einzige Verbindung.
Online — von uns verwaltet
CodeFixture-Infrastruktur
- ▸CVE-Aufklärung (NVD / OSV / GitHub Advisory)
- ▸Der Operator verfasst und validiert neue Regeln in einer Sandbox
- ▸Regelpakete werden versioniert, gehasht (SHA-256) und signiert
- ▸E-Mail-Benachrichtigung an aktive Abonnenten
Offline — Ihre Umgebung
Ihre Maschine / Ihre CI
- ✓Das Binary läuft lokal, niemals ausgehende Anrufe
- ✓Sie ziehen Pakete manuell aus Ihrem authentifizierten Portal
- ✓Jede Regel SHA-256-verifiziert vor dem Laden — manipuliert = abgelehnt
- ✓Audits laufen mit Builtin + Paketen + Ihren Custom-Regeln
E-Mail + manuelle Benutzeraktion — die einzige Brücke zwischen den Welten
Keine Telemetrie. Keine ausgehenden Anrufe. Keine Hintergrund-Sync. Das Binary kann weder Quellcode noch Audit-Ergebnisse leaken, weil es keinen ausgehenden Netzwerkcode hat, Punkt.
CVE-Reaktionszyklus, null ausgehende Anrufe
Wenn eine neue CVE auftaucht, bleiben Sie auf dem neuesten Stand, ohne dass Ihr Binary auch nur einen ausgehenden Anruf tätigt. E-Mail + manueller Download. Signiertes Paket. Bei der nächsten Prüfung automatisch geladen.
1
CVE erkannt
Unser Team überwacht NVD / OSV / GitHub Advisory täglich.
2
Regel verfasst
Der Operator schreibt eine .sca-Regel und validiert sie in einer Sandbox.
3
E-Mail an Abonnenten
Sie erhalten eine Benachrichtigung mit einem Download-Link zu Ihrem Portal.
4
Sie laden herunter
Manuelle Aktion. Das Paket landet in rules-updates/ neben Ihrem Binary.
5
Automatisches Laden
Das nächste Audit übernimmt die neuen Regeln. SHA-256 überprüft, niemals ausgeführt wenn manipuliert.
Das Binary macht in jedem Schritt NULL ausgehende Anrufe. Der CVE-Zyklus existiert außerhalb des Binarys, by design.
Was es besonders macht
Einzigartige Fähigkeiten, die Sie in keinem anderen statischen Analysetool finden.
Erkennung & Sicherheit
4
Datenflussverfolgung
Verfolgt Schritt für Schritt, wie vom Benutzer eingegebene Daten — Formularfeld, URL-Parameter, hochgeladene Datei — durch den Quellcode fließen. Wenn diese Daten eine gefährliche Operation erreichen (SQL-Abfrage, HTML-Seite, Shell-Befehl), ohne vorher geprüft oder bereinigt zu werden, meldet das Tool die Schwachstelle. Kein manuelles Code-Lesen nötig: der Analysator verfolgt automatisch alle möglichen Datenpfade.
Lieferkettenschutz
Erkennt bösartige Muster in Abhängigkeiten und CI/CD-Pipelines: npm-Skripte, die bei der Installation lautlos Code ausführen, Pakete zur Nachahmung legitimer Namen, base64-kodierte Payloads sowie Versuche, Anmeldedaten über IDE-Konfigurationsdateien zu stehlen. Umfasst 38 GitHub-Actions-Sicherheitsregeln.
Unabhängig validierte Qualität
Erkennungsgenauigkeit gemessen an zwei öffentlichen, neutralen Benchmarks: OWASP BenchmarkJava (2.740 Testfälle, F1 = 98,8 %) und OWASP BenchmarkPython (F1 = 96,5 %, gegenüber 48,4 % für das zuvor beste Open-Source-Tool). Kein Marketingversprechen — ein messbares, reproduzierbares Ergebnis.
Benutzerdefinierte Regeln
Erstellen Sie eigene Erkennungsregeln mit einer einfachen DSL. Keine Regex nötig — Klartext mit * als Platzhalter. Interaktiver Assistent inklusive.
Berichte & Export
6
Eigenständige HTML-Berichte
Einzelne eigenständige Datei mit CSS, JS, Chart.js inline. In jedem Browser öffnen, per E-Mail teilen, als PDF drucken.
12+ interaktive Diagramme
Chart.js inline: Schweregrade, Kategorien, Zeitachse, Trends. Tooltips und responsive.
Historischer Vergleich
Baseline über 10 Audit-Snapshots standardmäßig (konfigurierbar). Verfolgung neuer, gelöster und persistenter Probleme.
Berichtaufbewahrung
Automatische Bereinigung nach Anzahl, Tagen oder beidem. Dry-Run-Modus zur Vorschau.
Kategorie-Gruppierung
Findings gruppiert nach Schweregrad, dann nach Quelle (Geschäftscode / Abhängigkeiten), dann nach Kategorie. Einklappbare Abschnitte für effiziente Navigation.
Druckmodus
Druckbare Version mit einem Klick. Alle Abschnitte ausgeklappt, optimiertes Layout für PDF-Export und Papierdruck.
Datenschutz & Deployment
5
Null Abhängigkeiten
Eigenständige Binärdatei — kein Installer, keine Laufzeitumgebung einzurichten, keine Voraussetzungen.
100% Offline
Keine Netzwerkaufrufe, keine APIs, keine Telemetrie. Ihr Code verlässt nie Ihre Maschine.
Vollständig portabel
Binärdatei kopieren, Pfad angeben, ausführen. Keine Installation, keine PATH-Einrichtung, keine Konfiguration nötig.
Pre-Commit-Hook
Mit --install-hook installieren. Automatisches Audit vor jedem Commit.
White-Label-Branding
Anpassbarer Toolname, Logo, Dateipräfix und Favicon. Kostenlos — keine Enterprise-Lizenz erforderlich.
Compliance & Standards
3
ISO 27001 Matrix
Konformitätsmatrix mit 157 Regeln, die 93 Anhang-A-Kontrollen in 4 Themen zugeordnet sind. Abdeckung nach Thema mit visuellen Indikatoren.
OWASP ASVS v5.0.0
Konformitätsmatrix mit 106 Regeln, die 348 ASVS-Anforderungen in 17 Kapiteln und 3 Stufen (L1/L2/L3) zugeordnet sind.
Behebungs-Playbook
Schritt-für-Schritt-Behebungsanweisungen in jedem Finding integriert. CWE-, OWASP-Top-10- und ISO-27001-Referenzen inline.
Entwicklererfahrung
3
1136 Unit-Tests
Jede Regel validiert mit verwundbaren + sauberen Fixtures. Das Tool testet sich selbst.
Berichte in 4 Sprachen
Vollständige FR/EN/ES/DE-Lokalisierung: Regeln, Risiken, Lösungen, Vorteile, Diagrammbeschriftungen, Glossar.
Tastaturnavigation
Zwischen Findings mit j/k navigieren, mit Ctrl+Home nach oben springen. Effiziente Berichtsprüfung ohne Maus.
Für die vier Personen entwickelt, die es brauchen
Für jede Rolle der Liefergegenstand, der montagsfrüh wirklich Zeit spart.
DevSecOps-Lead
SAST in Ihre CI integrieren, ohne den Quellcode preiszugeben
Blockieren Sie Geheimnis-Leaks, SQL-Injections und Path-Traversal zum Zeitpunkt der Pull Request — ohne Quellcode an einen Drittanbieter-Scanner hochzuladen. SARIF fließt direkt in GitHub/GitLab-Dashboards. Ihre CI bekommt ein Security Gate; Ihr Code bleibt auf Ihren Runnern.
CISO / Sicherheitsleiter
Bestehen Sie Ihr ISO-27001-Audit ohne Quellcode-Leak
Übergeben Sie Ihrem Auditor ein einziges HTML mit der vorausgefüllten ISO 27001 Anhang-A-Matrix — 93 Kontrollen, abgehakt oder mit der betroffenen Datei:Zeile markiert. Null ausgehende Anrufe, kein Datenverarbeitungsvertrag. Ihr Auditor fragt nicht mehr, wo Ihr Quellcode gespeichert ist.
Interne Revision / Pentest-Team
Reproduzierbare Audits über mehrere interne Projekte
Auditieren Sie ein Dutzend interne Repositories mit demselben Binary — gleicher Regelsatz, gleiches Berichtsformat, gleicher Baseline-Vergleich. Fügen Sie hauseigene Standards als eigene .sca-Regeln hinzu. Jede Mission produziert ein eigenständiges HTML, das Sie der Auditakte beilegen.
Compliance-Beauftragter
ASVS / NIST CSF / CycloneDX in einem HTML automatisieren
OWASP ASVS v5.0.0 (348 Verifikationen), NIST CSF 2.0 (108 Unterkategorien) und ein CycloneDX-1.5-SBOM — alles im gleichen Scan generiert. Sparen Sie rund zwei Tage pro auditiertem Repo, die Ihr Prüfer nicht mehr manuell mappen muss.
Vergleich
Sehen Sie, wie sich StaticCodeAudit gegenüber typischen statischen Analysetools positioniert.
| Funktion | StaticCodeAudit | Typische SAST-Tools |
|---|---|---|
| Mehrsprachiges SAST | 710 Regeln, 8 Sprachen | Einzelsprache |
| 100% Offline | ✓ | Selten |
| Null Abhängigkeiten | ✓ | pip / npm / Go |
| Eigenständige HTML-Berichte | 12+ Diagramme, druckbar | Server erforderlich |
| White-Label-Branding | Kostenlos | Kostenpflichtig |
| Berichte in 4 Sprachen | FR/EN/ES/DE | ✗ |
| Historischer Vergleich | 10 Snapshots (konfigurierbar) | Nur Cloud |
| SARIF-Export | ✓ | ✓ |
| SBOM-Generierung | CycloneDX 1.5 | Begrenzt |
| ISO 27001 Konformität | 93 Anhang-A-Kontrollen | ✗ |
| OWASP ASVS v5.0.0 | 348 Anforderungen, 17 Kapitel | ✗ |
| CI/CD-Workflow-Audit | 8 Regeln GHA + GitLab | Spezialisierte Tools |
| Installation erforderlich | Keine | pip / npm / Go |