Warum offline zählt
Die meisten SAST-Anbieter führen ihre Analyse auf eigener Infrastruktur aus: Sie laden Ihren Quellcode hoch, sie liefern die Findings zurück. Selbst „verschlüsselt im Transit“ liegt Ihr Quellcode dann auf den Festplatten eines Dritten, indiziert von dessen Suchmaschinen, zugänglich für dessen Personal auf richterliche Anordnung, und einen Breach vom Wettbewerb entfernt.
Regulierte Branchen
Verteidigung, Gesundheit (HDS), Finanzen, öffentlicher Sektor — Ihr Code darf rechtlich oft nicht das Land verlassen, geschweige denn Ihren Perimeter.
Auditfirmen & Berater
Sie auditieren fremden Code unter NDA. Ihn an einen SaaS-Scanner zu schicken bricht den NDA. SCA läuft lokal auf Ihrem Laptop — fertig.
Produkte mit hohem Geschäftsgeheimnis
Algorithmen, Modelle, ML-Pipelines — Code, der das geistige Eigentum ist. Keine externe Abhängigkeit = kein Drittanbieter-Leck-Vektor.
Architektur — was läuft wo
StaticCodeAudit ist ein eigenständiges Python-CLI. Es liest Dateien von der Platte, wendet regex/AST-Regeln aus einem lokalen Katalog an und schreibt einen self-contained HTML-Bericht. Kein Daemon, kein Agent, kein Hintergrundprozess, kein Auto-Update, kein Analytics-SDK.
┌──────────────────────────────────────────────────┐ │ IHR LAPTOP / SERVER (Netzwerk: beliebig oder keines) │ │ │ │ ┌──────────┐ ┌──────────┐ ┌────────┐ │ │ │ src/ │ ──▶ │ sca/ │ ──▶ │ report │ │ │ │ files │ │ CLI │ │ .html │ │ │ └──────────┘ └──────────┘ └────────┘ │ │ │ │ │ ▼ │ │ ┌────────────┐ │ │ │ rules/ │ │ │ │ (local) │ │ │ └────────────┘ │ │ │ │ Kein Daemon. Kein Agent. Kein Telemetrie-SDK. │ │ Stoppt nach dem Schreiben des Berichts. │ └──────────────────────────────────────────────────┘ ╳ KEIN ausgehendes HTTP/HTTPS ╳ KEINE DNS-Abfrage außerhalb localhost ╳ KEIN Call-Home zur Lizenzprüfung (Offline-only) ╳ KEIN Error-Reporting-Service ╳ KEIN Auto-Update-Kanal
CVE-Regelpakete werden out-of-band als signierter E-Mail-Anhang ausgeliefert (SHA-256 + Ed25519). Sie installieren sie manuell mit sca --import-pack. Kein stiller Download-Kanal.
Überzeugen Sie sich in 30 Sekunden selbst
Lassen Sie StaticCodeAudit hinter tcpdump auf einem kleinen Projekt laufen. Sie werden genau null Pakete sehen, die Ihren Rechner während des Audits verlassen.
$ sudo tcpdump -i any 'host not 127.0.0.1 and host not ::1' & [1] 12345 $ ./run_audit.py /path/to/your/codebase 🔍 StaticCodeAudit — running 697 rules across 8 languages... ✅ Report generated: docs/audit-reports/SCA-REPORT-2026-05-10.html $ kill %1 0 packets captured 0 packets received by filter 0 packets dropped by kernel $ # Ihr Code hat dieses Terminal nie verlassen.
Wir nutzen unser eigenes Tool auf unserem eigenen Code
Jeder Commit am StaticCodeAudit-Quellcode wird von StaticCodeAudit selbst geprüft. Der aktuellste Bericht ist öffentlich — öffnen Sie ihn und verifizieren Sie unsere Aussagen zum Offline-Betrieb, null Findings auf Produktionscode und vollständigem Compliance-Mapping.
Was wir auditieren (und wie)
- Das gesamte Repo — 16+ Python-Module, 27 000+ Test-Assertions, 645+ Builtin-Regeln. Dieselbe Binary, die der Kunde herunterlädt.
- Jeden Commit auf main — lokal vor dem Push, plus ein veröffentlichter Snapshot bei jedem Release.
- Alle 8 Kategorien aktiviert — security, code quality, architecture, maintenance, UI, UX, accessibility, dependencies. Keine Kategorie wird ausgewählt.
- Strikte Schwellen —
max_high = 0,min_health = 70. Ein einzelnes neues Finding mit hohem Schweregrad blockiert das nächste Release. - Historischer Vergleich — jeder Bericht vergleicht mit der vorherigen Baseline. Regression auf einen Blick sichtbar.
Der Bericht ist eine eigenständige HTML-Datei. Lokal speichern, offline öffnen — kein Netzwerk-Aufruf zum Lesen nötig. Findings, Severity-Verteilung, Datei-für-Datei-Drilldown und vollständiges CWE-/OWASP-/ISO-27001-/ASVS-/NIST-CSF-Mapping pro Issue.
Alle früheren Auto-Audit-Berichte sind im öffentlichen Repo erhalten github.com/ka8t/Audit-archives.
Mustertext für Ihren DPO / Rechtsabteilung
Kopieren Sie diese Klausel in Ihr Datenflussregister, Ihre DSFA oder Ihre Lieferanten-Risikoprüfung. Sie ist faktisch korrekt für jedes Binary, das CodeFixture unter einer aktiven StaticCodeAudit-Lizenz ausliefert.
« StaticCodeAudit von CodeFixture ist ein eigenständiges Kommandozeilen-Tool, das Static Application Security Testing (SAST) vollständig auf der lokalen Maschine des Kunden durchführt. Das Tool initiiert während der Analyse keine ausgehende Netzwerkverbindung: Quellcode, Zwischenfindings und Endberichte werden ausschließlich in das lokale Dateisystem geschrieben. Die Lizenzprüfung erfolgt offline gegen einen signierten Schlüssel, ohne Aufruf der Anbieterinfrastruktur. Der Quellcode des Kunden wird daher weder an CodeFixture übertragen, noch von CodeFixture gespeichert oder verarbeitet. CVE-Regelpakete werden out-of-band als signierter E-Mail-Anhang verteilt und vom Kunden manuell installiert. »
Brauchen Sie diese Klausel auf Englisch, Französisch, Spanisch oder vom Gründer unterschrieben für Ihre Lieferantenakte? Fragen Sie uns.
Wo geht Ihr Code hin? Vergleichen Sie.
| StaticCodeAudit | Snyk Code | SonarCloud | SonarQube selbst-gehostet | |
|---|---|---|---|---|
| Quellcode beim Anbieter hochgeladen | Niemals | Ja | Ja | Nein |
| Findings auf Anbieter-Festplatten gespeichert | Niemals | Ja | Ja | Nein |
| Ausgehender Netzwerkanruf während des Scans | Null | Erforderlich | Erforderlich | Lizenzprüfung |
| Telemetrie / Nutzungs-Analytics | Keine | Ja | Ja | Optional |
| Auto-Update-Kanal | Keiner (manuelle signierte Pakete) | Ja | Ja | Manuell |
| Anfällig für Anbieter-Breach | Nicht exponiert | Ja | Ja | Nein |
Vergleich basiert auf dem veröffentlichten Deployment-Modell jedes Anbieters Stand Mai 2026. Snyk und SonarCloud sind standardmäßig SaaS-only; SonarQube selbst-gehostet ist ein vom Kunden bereitgestellter Server.
Sprechen Sie mit dem Ingenieur, der es gebaut hat
Brauchen Sie eine signierte Klausel für Ihren DPO? Ein Netzwerk-Audit-Log? Ein Architekturdiagramm für Ihre DSFA? Der schnellste Weg: dem Gründer direkt eine E-Mail schreiben.
Den Gründer direkt fragen