Zum Hauptinhalt springen

StaticCodeAudit

Funktionen der statischen Codeanalyse

710 Erkennungsregeln in 8 Kategorien, 8 Sprachen. 100 % CWE/WCAG-gemappt. 100 % offline, null Telemetrie.

8 Audit-Kategorien. 710 Regeln.

Umfassende Abdeckung von Sicherheitslücken bis zur Barrierefreiheits-Konformität.

Sicherheit

540 rules

SQL-Injection, XSS, SSRF, Path Traversal, Geheimnisse, eval, Deserialisierung, schwache Krypto, Befehlsinjektion, LDAP-Injection, Cookie-Sicherheit, DSGVO-Konformität...

OWASP CWE GDPR

Architektur

22 rules

Admin-Routenschutz, DB-Logik in Routern, direkte Abfragen, N+1-Muster, überdimensionierte Dateien.

OWASP

Oberfläche / UI

11 rules

Inline-Styles, manuelles createElement, Event-Listener-Lecks, DOM-Manipulation in Schleifen.

Barrierefreiheit / UX

34 rules

ARIA-Labels, Alternativtext, Fokusverwaltung, Autoplay, i18n-Probleme, Toast-Muster, console.log-Erkennung.

WCAG 2.2

Wartung

46 rules

Ungelöste TODO/FIXME/HACK/XXX, veraltete APIs (5 Sprachen), Catch-All-Ausnahmen, Debug-Anweisungen, Fehlerunterdrücker.

CWE

CI/CD

38 rules

GitHub Actions-Sicherheit, GitLab CI, Expression-Injection, übermäßige Berechtigungen, ungepinnte Actions.

OWASP CI/CD

Unterstützte Sprachen

Python
.py
JavaScript
.js, .jsx, .mjs
TypeScript
.ts, .tsx
HTML
.html, .vue, .svelte, +15
Java
.java
C#
.cs
PHP
.php, .inc
YAML
.yml, .yaml
Dockerfile
Dockerfile

Auf CI/CD-Geschwindigkeit ausgelegt

Regel-Cache und inkrementelle Analyse halten Ihre Pipeline schnell, auch wenn Ihre Codebasis wächst.

Regel-Cache

Geparste DSL-Regeln werden zwischen Läufen zwischengespeichert — kein erneutes Parsen bei jedem Scan.

Inkrementelle Analyse

Nur seit dem letzten Scan geänderte Dateien werden neu analysiert, identifiziert per Inhalt-Hash.

3× schneller bei Warm-Läufen

Folgescans unveränderten Codes sind bis zu 3× schneller als der initiale Kaltlauf.

Die Offline-Grenze

Klare Trennung zwischen dem, was online läuft (bei Ihrem Anbieter) und dem, was in Ihrem Netzwerk läuft (das Binary). E-Mail ist die einzige Verbindung.

Online — von uns verwaltet

CodeFixture-Infrastruktur

  • CVE-Aufklärung (NVD / OSV / GitHub Advisory)
  • Der Operator verfasst und validiert neue Regeln in einer Sandbox
  • Regelpakete werden versioniert, gehasht (SHA-256) und signiert
  • E-Mail-Benachrichtigung an aktive Abonnenten

Offline — Ihre Umgebung

Ihre Maschine / Ihre CI

  • Das Binary läuft lokal, niemals ausgehende Anrufe
  • Sie ziehen Pakete manuell aus Ihrem authentifizierten Portal
  • Jede Regel SHA-256-verifiziert vor dem Laden — manipuliert = abgelehnt
  • Audits laufen mit Builtin + Paketen + Ihren Custom-Regeln

E-Mail + manuelle Benutzeraktion — die einzige Brücke zwischen den Welten

Keine Telemetrie. Keine ausgehenden Anrufe. Keine Hintergrund-Sync. Das Binary kann weder Quellcode noch Audit-Ergebnisse leaken, weil es keinen ausgehenden Netzwerkcode hat, Punkt.

CVE-Reaktionszyklus, null ausgehende Anrufe

Wenn eine neue CVE auftaucht, bleiben Sie auf dem neuesten Stand, ohne dass Ihr Binary auch nur einen ausgehenden Anruf tätigt. E-Mail + manueller Download. Signiertes Paket. Bei der nächsten Prüfung automatisch geladen.

1

CVE erkannt

Unser Team überwacht NVD / OSV / GitHub Advisory täglich.

2

Regel verfasst

Der Operator schreibt eine .sca-Regel und validiert sie in einer Sandbox.

3

E-Mail an Abonnenten

Sie erhalten eine Benachrichtigung mit einem Download-Link zu Ihrem Portal.

4

Sie laden herunter

Manuelle Aktion. Das Paket landet in rules-updates/ neben Ihrem Binary.

5

Automatisches Laden

Das nächste Audit übernimmt die neuen Regeln. SHA-256 überprüft, niemals ausgeführt wenn manipuliert.

Das Binary macht in jedem Schritt NULL ausgehende Anrufe. Der CVE-Zyklus existiert außerhalb des Binarys, by design.

Was es besonders macht

Einzigartige Fähigkeiten, die Sie in keinem anderen statischen Analysetool finden.

Erkennung & Sicherheit 4
Einzigartig

Datenflussverfolgung

Verfolgt Schritt für Schritt, wie vom Benutzer eingegebene Daten — Formularfeld, URL-Parameter, hochgeladene Datei — durch den Quellcode fließen. Wenn diese Daten eine gefährliche Operation erreichen (SQL-Abfrage, HTML-Seite, Shell-Befehl), ohne vorher geprüft oder bereinigt zu werden, meldet das Tool die Schwachstelle. Kein manuelles Code-Lesen nötig: der Analysator verfolgt automatisch alle möglichen Datenpfade.

Einzigartig

Lieferkettenschutz

Erkennt bösartige Muster in Abhängigkeiten und CI/CD-Pipelines: npm-Skripte, die bei der Installation lautlos Code ausführen, Pakete zur Nachahmung legitimer Namen, base64-kodierte Payloads sowie Versuche, Anmeldedaten über IDE-Konfigurationsdateien zu stehlen. Umfasst 38 GitHub-Actions-Sicherheitsregeln.

Einzigartig

Unabhängig validierte Qualität

Erkennungsgenauigkeit gemessen an zwei öffentlichen, neutralen Benchmarks: OWASP BenchmarkJava (2.740 Testfälle, F1 = 98,8 %) und OWASP BenchmarkPython (F1 = 96,5 %, gegenüber 48,4 % für das zuvor beste Open-Source-Tool). Kein Marketingversprechen — ein messbares, reproduzierbares Ergebnis.

New

Benutzerdefinierte Regeln

Erstellen Sie eigene Erkennungsregeln mit einer einfachen DSL. Keine Regex nötig — Klartext mit * als Platzhalter. Interaktiver Assistent inklusive.

Berichte & Export 6
Einzigartig

Eigenständige HTML-Berichte

Einzelne eigenständige Datei mit CSS, JS, Chart.js inline. In jedem Browser öffnen, per E-Mail teilen, als PDF drucken.

12+ interaktive Diagramme

Chart.js inline: Schweregrade, Kategorien, Zeitachse, Trends. Tooltips und responsive.

Historischer Vergleich

Baseline über 10 Audit-Snapshots standardmäßig (konfigurierbar). Verfolgung neuer, gelöster und persistenter Probleme.

Einzigartig

Berichtaufbewahrung

Automatische Bereinigung nach Anzahl, Tagen oder beidem. Dry-Run-Modus zur Vorschau.

Einzigartig

Kategorie-Gruppierung

Findings gruppiert nach Schweregrad, dann nach Quelle (Geschäftscode / Abhängigkeiten), dann nach Kategorie. Einklappbare Abschnitte für effiziente Navigation.

Einzigartig

Druckmodus

Druckbare Version mit einem Klick. Alle Abschnitte ausgeklappt, optimiertes Layout für PDF-Export und Papierdruck.

Datenschutz & Deployment 5
Einzigartig

Null Abhängigkeiten

Eigenständige Binärdatei — kein Installer, keine Laufzeitumgebung einzurichten, keine Voraussetzungen.

Selten

100% Offline

Keine Netzwerkaufrufe, keine APIs, keine Telemetrie. Ihr Code verlässt nie Ihre Maschine.

Einzigartig

Vollständig portabel

Binärdatei kopieren, Pfad angeben, ausführen. Keine Installation, keine PATH-Einrichtung, keine Konfiguration nötig.

Pre-Commit-Hook

Mit --install-hook installieren. Automatisches Audit vor jedem Commit.

Einzigartig

White-Label-Branding

Anpassbarer Toolname, Logo, Dateipräfix und Favicon. Kostenlos — keine Enterprise-Lizenz erforderlich.

Compliance & Standards 3
Einzigartig

ISO 27001 Matrix

Konformitätsmatrix mit 157 Regeln, die 93 Anhang-A-Kontrollen in 4 Themen zugeordnet sind. Abdeckung nach Thema mit visuellen Indikatoren.

Einzigartig

OWASP ASVS v5.0.0

Konformitätsmatrix mit 106 Regeln, die 348 ASVS-Anforderungen in 17 Kapiteln und 3 Stufen (L1/L2/L3) zugeordnet sind.

New

Behebungs-Playbook

Schritt-für-Schritt-Behebungsanweisungen in jedem Finding integriert. CWE-, OWASP-Top-10- und ISO-27001-Referenzen inline.

Entwicklererfahrung 3
Einzigartig

1136 Unit-Tests

Jede Regel validiert mit verwundbaren + sauberen Fixtures. Das Tool testet sich selbst.

Einzigartig

Berichte in 4 Sprachen

Vollständige FR/EN/ES/DE-Lokalisierung: Regeln, Risiken, Lösungen, Vorteile, Diagrammbeschriftungen, Glossar.

Selten

Tastaturnavigation

Zwischen Findings mit j/k navigieren, mit Ctrl+Home nach oben springen. Effiziente Berichtsprüfung ohne Maus.

Für die vier Personen entwickelt, die es brauchen

Für jede Rolle der Liefergegenstand, der montagsfrüh wirklich Zeit spart.

DevSecOps-Lead

SAST in Ihre CI integrieren, ohne den Quellcode preiszugeben

Blockieren Sie Geheimnis-Leaks, SQL-Injections und Path-Traversal zum Zeitpunkt der Pull Request — ohne Quellcode an einen Drittanbieter-Scanner hochzuladen. SARIF fließt direkt in GitHub/GitLab-Dashboards. Ihre CI bekommt ein Security Gate; Ihr Code bleibt auf Ihren Runnern.

CI/CD
Self-hosted Runner ready
Cache spart Re-Scans
SARIF
GitHub/GitLab-Dashboards

CISO / Sicherheitsleiter

Bestehen Sie Ihr ISO-27001-Audit ohne Quellcode-Leak

Übergeben Sie Ihrem Auditor ein einziges HTML mit der vorausgefüllten ISO 27001 Anhang-A-Matrix — 93 Kontrollen, abgehakt oder mit der betroffenen Datei:Zeile markiert. Null ausgehende Anrufe, kein Datenverarbeitungsvertrag. Ihr Auditor fragt nicht mehr, wo Ihr Quellcode gespeichert ist.

100%
Regeln auf CWE/WCAG gemappt
93
Anhang-A-Kontrollen abgedeckt
0
Ausgehende Anrufe beim Scan

Interne Revision / Pentest-Team

Reproduzierbare Audits über mehrere interne Projekte

Auditieren Sie ein Dutzend interne Repositories mit demselben Binary — gleicher Regelsatz, gleiches Berichtsformat, gleicher Baseline-Vergleich. Fügen Sie hauseigene Standards als eigene .sca-Regeln hinzu. Jede Mission produziert ein eigenständiges HTML, das Sie der Auditakte beilegen.

697
Kuratierte Regeln pro Repo
8
Sprachen, ein Binary
HTML
Eine eigenständige Datei

Compliance-Beauftragter

ASVS / NIST CSF / CycloneDX in einem HTML automatisieren

OWASP ASVS v5.0.0 (348 Verifikationen), NIST CSF 2.0 (108 Unterkategorien) und ein CycloneDX-1.5-SBOM — alles im gleichen Scan generiert. Sparen Sie rund zwei Tage pro auditiertem Repo, die Ihr Prüfer nicht mehr manuell mappen muss.

348
ASVS-Verifikationen gemappt
108
NIST-CSF-Unterkategorien
SBOM
CycloneDX 1.5 bereit

Vergleich

Sehen Sie, wie sich StaticCodeAudit gegenüber typischen statischen Analysetools positioniert.

Funktion StaticCodeAudit Typische SAST-Tools
Mehrsprachiges SAST 710 Regeln, 8 Sprachen Einzelsprache
100% Offline Selten
Null Abhängigkeiten pip / npm / Go
Eigenständige HTML-Berichte 12+ Diagramme, druckbar Server erforderlich
White-Label-Branding Kostenlos Kostenpflichtig
Berichte in 4 Sprachen FR/EN/ES/DE
Historischer Vergleich 10 Snapshots (konfigurierbar) Nur Cloud
SARIF-Export
SBOM-Generierung CycloneDX 1.5 Begrenzt
ISO 27001 Konformität 93 Anhang-A-Kontrollen
OWASP ASVS v5.0.0 348 Anforderungen, 17 Kapitel
CI/CD-Workflow-Audit 8 Regeln GHA + GitLab Spezialisierte Tools
Installation erforderlich Keine pip / npm / Go