El caso de uso 1 binario, N clientes
Con una sola licencia de StaticCodeAudit, puede auditar tantas codebases de cliente distintas como desee. La herramienta se ejecuta localmente en su portátil — el código de su cliente nunca sale de su máquina, y al cierre del encargo le entrega un informe PDF/HTML completamente con su marca.
Despachos (PI, M&A)
Revisión de código en escrow, análisis de infracción de patentes, due-diligence sobre un target — todo bajo secreto profesional. SAST en la nube = ruptura del secreto.
Due-diligence técnica
Tech DD para fondos PE/VC, evaluación de la calidad del código antes de una adquisición. El código del target se comparte bajo NDA estricto — subirlo a un SaaS hace fracasar la operación.
Firmas de auditoría (ciberseguridad, cumplimiento)
Auditorías ISO 27001 / SOC 2 / RGPD donde el cliente quiere que la auditoría se realice in situ, sin tráfico saliendo de su red.
Marca blanca para sus informes
Configure el nombre de la herramienta, la razón social, el logotipo, el prefijo de archivo y el favicon en audit.config.json. El informe HTML se entrega con su marca, no con la nuestra. Su cliente recibe un informe de auditoría emitido por su despacho, impulsado por una herramienta cuya existencia ni siquiera necesita conocer.
La marca blanca está incluida gratuitamente en cada tier de pago (Solo y superiores).
Tarifas para auditores
El tier Solo Plus (1 590 €/año) cubre 2 máquinas y 100 K SLOC por escaneo — habitualmente suficiente para un consultor freelance que trabaja con varios clientes en paralelo.
Para firmas de auditoría con varios encargos simultáneos, Team (3 990 €/año, 4 500 archivos / 500 K SLOC) o Team Plus (11 990 €/año, 10 K archivos / 2 M SLOC) suele ser el formato adecuado. Vea el modelo de precios.
Por qué un SAST SaaS está excluido por la mayoría de NDA de misión
La mayoría de NDA firmados con clientes de auditoría prohíben la transmisión de código fuente a terceros — explícita o implícitamente vía cláusulas sobre tratamiento, almacenamiento y subencargados. Las herramientas SAST SaaS (Snyk Code, SonarCloud, GitHub Advanced Security) suben código fuente a la infraestructura del proveedor para análisis. El proveedor se convierte en subencargado de los datos del cliente, lo que típicamente requiere:
- Añadir el SAST a la lista de subencargados autorizados (a menudo rechazado).
- Actualizar el DPA / Anexo F de la misión para revelar la subida.
- Demostrar que las certificaciones SOC 2 / ISO 27001 del proveedor cumplen el nivel exigido.
- Renegociar honorarios si el pricing del proveedor expone el volumen de datos del cliente.
- Auditar procedimientos de retención y eliminación de datos del proveedor.
StaticCodeAudit elimina toda esta cadena: el binario corre en la máquina del auditor (o en un puesto prestado por el cliente), sin subida, sin tratamiento por terceros. El NDA existente ya cubre este caso — sin necesidad de addendum.
Entregables de auditoría aceptables por un regulador (o juez)
- Informe HTML autónomo con encabezado brandeable — se abre en cualquier navegador, sin conexión internet requerida.
- SARIF JSON (estándar OASIS) — legible por máquina, se integra con GRC o tracker de vulnerabilidades existente del cliente.
- SBOM (CycloneDX) — requerido para atestaciones de cadena de suministro de software bajo NIS2 reciente y Executive Order 14028 US.
- Comparación histórica baseline — muestra « lo que cambió entre v1.2 y v1.3 » en el mismo informe.
- Mapeo CWE / OWASP / ISO 27001 / ASVS / NIST CSF por hallazgo — cada issue es trazable a un estándar publicado, reconocido por tribunales y reguladores.
Cada informe es un archivo .html único, archivable junto con la carta de encargo, papeles de trabajo y opinión final. Sin CDN externo, sin scripts remotos — funciona en sala de evidencias sellada.
Preguntas frecuentes (despachos jurídicos)
¿StaticCodeAudit hace llamadas de red salientes durante el análisis?
Cero. El binario no inicia HTTP, DNS ni ninguna llamada de red durante un escaneo. Verificable con tcpdump -i any host www.codefixture.com mientras un escaneo corre — el archivo de captura estará vacío. Esta afirmación es parte de nuestra postura pública y damos la bienvenida a la verificación por su equipo técnico.
¿Se puede ejecutar StaticCodeAudit en un puesto proporcionado por el cliente?
Sí. El binario es portable: déjelo en el puesto, ejecútelo, copie el informe HTML a su expediente de auditoría. Sin instalación, sin privilegios admin requeridos, sin modificación de registro en Windows. Si el puesto cliente está air-gapped, el binario corre igual.
¿Qué debe entregar el auditor al cliente como parte del encargo?
Típicamente: la carta de encargo; la licencia StaticCodeAudit usada (uno de nuestros tiers de pago); el hash del binario (SHA-256 publicado en nuestra página download); y el propio informe HTML. El cliente puede verificar el hash para confirmar que el binario no fue modificado.
¿Se puede expurgar el informe antes de entregarlo al cliente?
Sí. El informe HTML es texto plano — puede abrirlo en cualquier editor y retirar párrafos (p.ej., hallazgos que el auditor considera fuera de scope). El SARIF JSON también es editable. El formato « expediente de auditoría » permite revisar y expurgar cada artefacto antes de entregar.
¿El uso de StaticCodeAudit afecta el peso jurídico de nuestra opinión?
Lo refuerza. Cada hallazgo se mapea a un estándar reconocido públicamente (CWE, ASVS, OWASP). Cuando afirma « ningún hallazgo de severidad alta contra ASVS v5 §4 », esa aserción es reproducible por otro auditor ejecutando la misma herramienta sobre el mismo código. Las herramientas SaaS, en cambio, ejecutan un modelo ML opaco — no se puede reproducir el análisis sin acceso al cloud del proveedor.
¿Necesita un informe de muestra para un encargo de cliente?
Abra la demo en vivo, en marca blanca con los colores de su despacho. O reserve una presentación de 20 minutos en la que ejecutamos StaticCodeAudit sobre una muestra de código que usted aporta.
Abrir el informe en vivo Reservar una demo