Zum Hauptinhalt springen

StaticCodeAudit

Standards & Konformität

Umfassende Zuordnung zu internationalen Sicherheits-, Qualitäts- und Barrierefreiheitsstandards.

100 % Compliance-Abdeckung

Jede der 697 Builtin-Regeln ist auf einen veröffentlichten Standard gemappt. Keine Regel wird ohne Nachvollziehbarkeitsanker ausgeliefert.

665
Regeln auf MITRE CWE gemappt (Sicherheit und Codequalität)
32
Regeln auf W3C WCAG 2.1 gemappt (UX-Barrierefreiheit)
0
nicht gemappte Regel — jede Regel hat einen CWE- oder WCAG-Anker

Zusätzlich werden ISO/IEC 27001:2022 (93 Controls), OWASP ASVS v5.0.0 (348 Anforderungen) und NIST CSF 2.0 (108 Unterkategorien) in jedem Bericht matrixiert. Die Findings tragen ihre Compliance-Metadaten in JSON, SARIF (rule.properties.tags) und HTML.

Unterstützte Standards

Jeder Fund ist einem oder mehreren internationalen Standards zugeordnet.

OWASP Foundation · USA

OWASP Top 10

Die 10 kritischsten Sicherheitsrisiken für Webanwendungen. SCA kennzeichnet jeden Befund mit seiner Top-10-Kategorie zur sofortigen Risikoklasseneinordnung.

MITRE · USA

CWE

MITRE-Katalog mit über 1 000 Software-Schwachstellen. Standardisierte IDs (z. B. CWE-89 für SQL-Injection) für eindeutigen Vergleich zwischen Tools.

W3C · International

WCAG 2.1

W3C-Barrierefreiheitsstandard. Erforderlich im öffentlichen Sektor EU/US und durch den European Accessibility Act 2025 für den Privatsektor.

Europäische Union · 2018

DSGVO / GDPR

EU-Verordnung zum Schutz personenbezogener Daten. SCA erkennt fest codierte Daten und fehlende Verschlüsselung sensibler Felder. Bußgelder bis 4 % des weltweiten Umsatzes.

OWASP Foundation · USA

OWASP CI/CD

Top 10 pipeline-spezifischer Risiken. SCA scannt GitHub Actions und GitLab CI — Pipelines haben direkten Zugriff auf Secrets und Produktion.

OASIS / OWASP · International

SARIF & SBOM

Industriestandard-Exporte. SARIF speist GitHub Code Scanning und GitLab SAST; SBOM CycloneDX ist durch US Executive Order 14028 für Bundesauftragnehmer vorgeschrieben.

ISO + IEC · International

ISO 27001

ISMS-Kontrollkatalog (93 Anhang-A-Kontrollen). Häufig in Enterprise-Verträgen für die Zertifizierung gefordert.

OWASP Foundation · USA

OWASP ASVS

Anwendungssicherheits-Verifizierungs-Checkliste (348 Anforderungen). Das, was Auditoren zur Sicherheitsprüfung ausführen.

NIST · USA

NIST CSF 2.0

Cybersicherheitsergebnisse über 6 Funktionen. Vorgeschrieben für US-Bundesauftragnehmer, in Finanzen und Gesundheit verbreitet.

ISO/IEC 27001:2022 — Annex A

Einzigartig

ISO + IEC · International

ISO/IEC 27001:2022 — Annex A

Konformitätsmatrix mit 157 Erkennungsregeln, die 93 Anhang-A-Kontrollen zugeordnet sind.

Die ISO/IEC 27001-Zertifizierung ist eine vertragliche Anforderung vieler Enterprise-Kunden und der internationale De-facto-Standard für ISMS. Der Anhang-A-Kontrollkatalog gibt Auditoren eine Checkliste der Schutzmaßnahmen. SCA füllt die technologischen Kontrollen (A.8) vor, die im Quellcode sichtbar sind — Ihr Auditor konzentriert sich auf Prozesse, nicht auf Code-Reviews.

44 /93
Abgedeckte Kontrollen
durch statische Analyse
Organisatorisch A.5
10 / 37
Personal A.6
0 / 8
Physisch A.7
0 / 14
Technologisch A.8
34 / 34

SAST-Tools decken hauptsächlich technologische Kontrollen (A.8) ab. Die Konformitätsmatrix zeigt, welche Kontrollen durch statische Analyse testbar sind, nicht eine vollständige Konformitätszertifizierung.

Alle 93 Controls — klicken Sie auf ein Thema zum Aufklappen

Die SAST-Abdeckung ist von Natur aus teilweise: physische Sicherheitskontrollen (A.7) und HR-Kontrollen (A.6) erfordern organisatorische Maßnahmen außerhalb des Bereichs der statischen Analyse. SCA deckt ab, was der Code beweisen kann.

OWASP ASVS v5.0.0

Einzigartig

OWASP Foundation · USA

OWASP ASVS v5.0.0

Konformitätsmatrix mit 106 Erkennungsregeln, die 348 ASVS-Anforderungen in 17 Kapiteln zugeordnet sind.

Wo die OWASP Top 10 die häufigsten Risiken auflisten, listet ASVS die Verifizierungen auf, die ein Auditor an einer Anwendung durchführt. Strukturiert nach Kapitel (V1 Architektur, V3 Sitzungen, V6 Kryptographie…) und Stufe (1, 2, 3). SCA automatisiert Stufe-1-Prüfungen für Ein-/Ausgaben, sodass Verifizierer sich auf Bedrohungsmodellierung und Designreview konzentrieren können.

44 /348
Abgedeckte Anforderungen
durch statische Analyse
Kodierung & Bereinigung V1
16 / 30
Web-Frontend-Sicherheit V3
11 / 31
Authentifizierung V6
4 / 48
Kryptographie V11
4 / 25

ASVS v5.0.0 definiert 348 Anforderungen in 17 Kapiteln. SAST-Tools können ~24% davon überprüfen — Runtime-, Infrastruktur- und Verfahrensanforderungen erfordern eine separate Bewertung.

NIST CSF 2.0

Einzigartig

NIST · USA

NIST CSF 2.0

NIST Cybersecurity Framework 2.0 — Abdeckung der durch statische Analyse erkennbaren Unterkategorien.

NIST CSF 2.0 ist das De-facto-Cybersicherheitsframework für US-Bundesauftragnehmer und wird zunehmend im Finanz- und Gesundheitswesen übernommen. Anders als ISO 27001 (das Kontrollen auflistet) listet CSF Ergebnisse auf — was Ihr Sicherheitsprogramm erreichen muss. SCA deckt die technischen Unterkategorien unter Protect, Detect und Identify ab; die Funktionen Govern, Respond und Recover sind organisatorisch und außerhalb des SAST-Bereichs.

24 /106
Abgedeckte Unterkategorien
durch statische Analyse
Protect (PR) PR
16 / 22
Detect (DE) DE
3 / 11
Identify (ID) ID
4 / 21
Govern (GV) GV
1 / 31

Die Abdeckung konzentriert sich auf technische Unterkategorien, die per SAST erkennbar sind. Die Funktionen Respond (RS) und Recover (RC) sind organisatorisch — außerhalb des Bereichs der statischen Analyse.

Authoritative sources

Direct links to every standards body referenced on this page.

CWE — MITRE Common Weakness Enumeration OWASP Top 10 (2021) OWASP ASVS v5.0 ISO/IEC 27001:2022 NIST CSF 2.0 OASIS SARIF v2.1.0 W3C WCAG 2.1 CycloneDX SBOM (OWASP)