¿Por qué StaticCodeAudit?
Diseñado para desarrolladores que valoran la privacidad, la simplicidad y la rigurosidad.
Seguridad ante todo
124 reglas de seguridad que cubren inyección SQL, XSS, SSRF, path traversal, secretos codificados, deserialización insegura, criptografía débil, seguridad de cookies, inyección LDAP y más. Mapeadas a OWASP Top 10, CWE, GDPR, ISO 27001 Anexo A y OWASP ASVS v5.0.0.
Informes profesionales
Informes HTML autónomos con 12+ gráficos interactivos, puntuación de salud, comparación histórica y hallazgos agrupados por severidad y categoría. Un solo archivo, sin servidor.
Cero dependencias
Binario único autónomo. Sin pip, sin Node, sin Docker, sin APIs externas, sin nube, sin telemetría. Su código nunca sale de su máquina.
6 categorías de auditoría. 691 reglas.
Cobertura completa, desde vulnerabilidades de seguridad hasta conformidad de accesibilidad.
Seguridad
Inyección SQL, XSS, SSRF, path traversal, secretos, eval, deserialización, criptografía débil, inyección de comandos, inyección LDAP, seguridad de cookies, conformidad RGPD...
Arquitectura
Protección de rutas admin, lógica DB en routers, consultas directas, patrones N+1, archivos sobredimensionados.
Interfaz / UI
Estilos inline, createElement manual, fugas de event listeners, manipulación DOM en bucles.
Accesibilidad / UX
Etiquetas ARIA, texto alternativo, gestión del foco, autoplay, problemas i18n, patrones de toast, detección console.log.
Mantenimiento
TODO/FIXME/HACK/XXX sin resolver, APIs obsoletas (5 lenguajes), excepciones catch-all, instrucciones de depuración, supresores de errores.
CI/CD
Seguridad GitHub Actions, GitLab CI, inyección de expresiones, permisos excesivos, acciones no fijadas.
Lenguajes soportados
Pensado para la velocidad de CI/CD
Caché de reglas y análisis incremental mantienen tu pipeline rápido incluso cuando crece tu código.
Caché de reglas
Las reglas DSL se parsean una sola vez y se conservan en caché entre ejecuciones.
Análisis incremental
Solo se reanalizan los archivos modificados desde el último escaneo, identificados por hash de contenido.
3× más rápido en escaneos en caliente
Los escaneos sucesivos de código sin cambios son hasta 3× más rápidos que el escaneo inicial en frío.
La frontera offline
Separación clara entre lo que se ejecuta en línea (en su proveedor) y lo que se ejecuta en su red (el binario). El email es el único enlace.
En línea — gestionado por nosotros
Infraestructura CodeFixture
- ▸Vigilancia CVE (NVD / OSV / GitHub Advisory)
- ▸El operador escribe y valida las nuevas reglas en sandbox
- ▸Los paquetes de reglas son versionados, hasheados (SHA-256) y firmados
- ▸Notificación por email enviada a los suscriptores activos
Sin conexión — su entorno
Su máquina / su CI
- ✓El binario se ejecuta localmente, nunca hace llamadas salientes
- ✓Usted descarga manualmente los paquetes desde su portal autenticado
- ✓Cada regla verificada SHA-256 antes de cargar — alterada = rechazada
- ✓Las auditorías corren con builtin + paquetes + sus reglas custom
Email + acción manual del usuario — el único puente entre los dos mundos
Sin telemetría. Sin llamadas salientes. Sin sincronización en segundo plano. El binario no puede filtrar código fuente ni resultados de auditoría porque no tiene ningún código de red saliente, punto.
Ciclo de respuesta CVE, cero llamadas salientes
Cuando aparece una nueva CVE, te mantienes al día sin que tu binario haga ninguna llamada saliente. Email + descarga manual. Paquete firmado. Cargado automáticamente en la siguiente auditoría.
1
CVE detectada
Nuestro equipo monitorea NVD / OSV / GitHub Advisory diariamente.
2
Regla escrita
El operador escribe una regla .sca y la valida en sandbox.
3
Email a suscriptores
Recibes una notificación con un enlace de descarga a tu portal.
4
Descargas
Acción manual. El paquete aterriza en rules-updates/ junto a tu binario.
5
Carga automática
La siguiente auditoría incorpora las nuevas reglas. SHA-256 verificado, nunca ejecutado si fue alterado.
El binario hace CERO llamadas salientes en cada paso. El ciclo CVE existe fuera del binario, por diseño.
Lo que lo hace diferente
Capacidades únicas que no encontrará en ningún otro analizador estático.
Cero dependencias
Binario autónomo — sin instalador, sin runtime que configurar, sin prerrequisitos.
100% Sin conexión
Sin llamadas de red, sin APIs, sin telemetría. Tu código nunca sale de tu máquina.
Informes HTML autónomos
Archivo único con CSS, JS, Chart.js integrados. Abrir en cualquier navegador, compartir por email, imprimir en PDF.
Marca blanca
Nombre de herramienta, logo, prefijo de archivos y favicon personalizables. Gratis — sin licencia enterprise requerida.
Informes en 4 idiomas
Localización completa FR/EN/ES/DE: reglas, riesgos, soluciones, beneficios, etiquetas de gráficos, glosario.
Comparación histórica
Baseline sobre 10 snapshots de auditoría por defecto (configurable). Seguimiento de problemas nuevos, resueltos y persistentes.
12+ gráficos interactivos
Chart.js integrado: severidades, categorías, cronología, tendencias. Tooltips y responsive.
Retención de informes
Limpieza automática por cantidad, días o ambos. Modo dry-run para previsualizar.
1136 tests unitarios
Cada regla validada con fixtures vulnerable + limpia. La herramienta se testea a sí misma.
Portabilidad total
Copie el binario, dele una ruta, ejecútelo. Sin instalación, sin PATH, sin configuración.
Hook pre-commit
Instalar con --install-hook. Auditoría automática antes de cada commit.
Matriz ISO 27001
Matriz de conformidad que mapea 157 reglas a 93 controles del Anexo A en 4 temas. Cobertura por tema con indicadores visuales.
OWASP ASVS v5.0.0
Matriz de conformidad que mapea 106 reglas a 348 requisitos ASVS en 17 capítulos y 3 niveles (L1/L2/L3).
Agrupación por categoría
Hallazgos agrupados por severidad, luego por fuente (Código de negocio / Dependencias), luego por categoría. Secciones plegables para una navegación eficiente.
Modo impresión
Versión imprimible con un clic. Todas las secciones expandidas, diseño optimizado para exportación PDF e impresión en papel.
Navegación por teclado
Navegar entre hallazgos con atajos j/k, volver arriba con Ctrl+Home. Revisión eficiente sin ratón.
Reglas personalizadas
Cree sus propias reglas de detección con un DSL simple. Sin regex — texto plano con * como comodín. Asistente interactivo incluido.
Playbook de remediación
Instrucciones de corrección paso a paso integradas en cada hallazgo. Referencias CWE, OWASP Top 10 e ISO 27001.
Diseñado para las cuatro personas que lo necesitan
Para cada rol, el entregable que realmente ahorra tiempo el lunes por la mañana.
Lead DevSecOps
Integre SAST en su CI sin renunciar al código fuente
Bloquee fugas de secretos, inyecciones SQL y path traversal en el momento de la pull request — sin subir el código fuente a un escáner externo. SARIF alimenta directamente los dashboards de GitHub/GitLab. Su CI obtiene una puerta de seguridad; su código se queda en sus runners.
CISO / Director de seguridad
Pase su auditoría ISO 27001 sin filtrar el código fuente
Entregue a su auditor un único HTML con la matriz ISO 27001 Anexo A pre-rellena — 93 controles, marcados o señalados con el archivo:línea responsable. Cero llamadas salientes, cero convenio de tratamiento de datos. Su auditor deja de preguntar dónde está almacenado su código fuente.
Auditoría interna / equipo pentest
Ejecute auditorías reproducibles en múltiples proyectos internos
Audite una decena de repositorios internos con el mismo binario — mismo conjunto de reglas, mismo formato de informe, misma comparación con baseline. Añada sus estándares internos como reglas .sca personalizadas. Cada compromiso produce un HTML autocontenido que adjunta al dossier de auditoría.
Responsable de conformidad
Automatice ASVS / NIST CSF / CycloneDX en un solo HTML
OWASP ASVS v5.0.0 (348 verificaciones), NIST CSF 2.0 (108 subcategorías) y un SBOM CycloneDX 1.5 — todo generado en el mismo escaneo. Ahorre aproximadamente dos días por repositorio auditado que su verificador ya no mapea manualmente.
Comparación
Descubra cómo StaticCodeAudit se posiciona frente a las herramientas de análisis estático clásicas.
| Funcionalidad | StaticCodeAudit | Herramientas SAST clásicas |
|---|---|---|
| SAST multi-lenguaje | 698 reglas, 8 lenguajes | Mono-lenguaje |
| 100% Sin conexión | ✓ | Raro |
| Cero dependencias | ✓ | pip / npm / Go |
| Informes HTML autónomos | 12+ gráficos, imprimible | Requiere servidor |
| Marca blanca | Gratis | De pago |
| Informes en 4 idiomas | FR/EN/ES/DE | ✗ |
| Comparación histórica | 10 instantáneas (configurable) | Solo en la nube |
| Exportación SARIF | ✓ | ✓ |
| Generación SBOM | CycloneDX 1.5 | Limitado |
| Conformidad ISO 27001 | 93 controles Anexo A | ✗ |
| OWASP ASVS v5.0.0 | 348 requisitos, 17 capítulos | ✗ |
| Auditoría de workflows CI/CD | 8 reglas GHA + GitLab | Herramientas especializadas |
| Instalación requerida | Ninguna | pip / npm / Go |