Preguntas frecuentes

El SAST (Static Application Security Testing) analiza el código fuente sin ejecutarlo, identificando vulnerabilidades, problemas de calidad y violaciones de conformidad antes del despliegue. StaticCodeAudit realiza SAST en 8 lenguajes de programación con 698 reglas de detección.

No. StaticCodeAudit funciona 100 % sin conexión, sin ninguna llamada API externa. Su código fuente nunca sale de su máquina. El binario es totalmente autónomo — sin servicios en la nube, sin telemetría, sin phone-home.

Python, JavaScript/TypeScript, HTML (incluyendo plantillas Vue, Svelte, EJS, Jinja, Twig), Java, C#, PHP y YAML (para análisis de pipelines CI/CD). Cada lenguaje tiene reglas de detección dedicadas.

A diferencia de SonarQube (que requiere servidor) o ESLint (solo JavaScript), StaticCodeAudit es una herramienta autónoma que genera informes HTML independientes sin infraestructura. También soporta marca blanca, informes en 4 idiomas y análisis de workflows CI/CD — todo gratis.

StaticCodeAudit mapea los hallazgos a OWASP Top 10, CWE (Common Weakness Enumeration), las directrices de accesibilidad WCAG 2.1, la protección de datos GDPR/RGPD, OWASP CI/CD Top 10, ISO/IEC 27001:2022 Anexo A (matriz de conformidad de 93 controles), y OWASP ASVS v5.0.0 (348 requisitos en 17 capítulos). También exporta en formato SARIF 2.1.0 para integración con los paneles de seguridad de GitHub y GitLab.

Sí. La marca blanca es gratuita e integrada. Puede configurar el nombre de la herramienta, nombre de la empresa, logo (SVG/PNG/JPG), prefijo de archivos y favicon en el audit.config.json de su proyecto. Los informes generados utilizan su marca en todas partes — encabezados, pies de página y pestaña del navegador.

Los hallazgos se organizan en una jerarquía de 3 niveles: primero por severidad (Critical, High, Medium, Low, Info), luego por fuente (Código de negocio vs Dependencias), luego por categoría (Seguridad, Arquitectura, UI, UX, Mantenimiento, etc.). Cada nivel es plegable para una navegación eficiente.

Sí. Gracias a un caché de reglas y a un análisis incremental basado en hash, los escaneos en caliente son hasta 3× más rápidos que los escaneos en frío. Solo se reanalizan los archivos modificados desde el último escaneo, lo que hace que StaticCodeAudit sea idóneo para pipelines CI/CD y hooks pre-commit.

Snyk Code es un SaaS — su código fuente se sube al cloud de Snyk para análisis, y el precio escala por desarrollador (25–40 $/dev/mes). StaticCodeAudit se ejecuta 100 % en su máquina — sin upload, sin telemetría — y factura por capacidad (990 € a 11 990 €/año, sin coste por usuario). Ambos son válidos: elija Snyk si acepta SaaS y quiere flujo IDE-first ; elija StaticCodeAudit si su política de privacidad o cumplimiento prohíbe enviar código fuente a un cloud de terceros.

Para despliegue estrictamente offline, las dos opciones principales son StaticCodeAudit y SonarQube self-hosted. StaticCodeAudit es un binario único sin dependencias (desde 990 €/año). SonarQube self-hosted requiere una infraestructura Java + servidor de base de datos (2 500–20 000+ $/año). Otras herramientas (Snyk, SonarCloud, GitHub Advanced Security, Semgrep Pro, Veracode) son solo SaaS. Bandit y los plugins ESLint son OSS gratuitos pero cubren un solo lenguaje sin informe de conformidad unificado.

Los precios empiezan en 990 €/año (Solo). Solo Plus 1 590 €/año, Team 3 990 €/año (el más popular), Team Plus 11 990 €/año, Enterprise desde 30 000 €/año. Todos los planes son suscripciones anuales sin coste por usuario, sin coste de instalación, sin telemetría. Demo gratuita disponible para evaluación.

No. El binario no realiza llamadas salientes de red bajo ninguna circunstancia. Sin telemetría, sin verificación de versión, sin analítica. Es una elección estructural de diseño — el binario no contiene código de red saliente. La comunicación servidor→cliente (actualizaciones de paquetes de reglas, renovación de licencia) se realiza por email y acción manual del usuario en el portal autenticado. Su código fuente y resultados de auditoría nunca abandonan su máquina a través del analizador.