Por qué importa el modo sin conexión
La mayoría de los proveedores SAST ejecutan su análisis en su propia infraestructura: usted sube su código fuente, ellos devuelven los hallazgos. Incluso «cifrado en tránsito», ese código fuente queda almacenado en los discos de un tercero, indexado por sus motores internos, accesible a su personal bajo requerimiento, y a una brecha de sus competidores.
Industrias reguladas
Defensa, sanidad (HDS), finanzas, sector público — su código puede legalmente no salir del país, mucho menos de su perímetro.
Despachos de auditoría y consultores
Usted audita código de terceros bajo NDA. Enviarlo a un escáner SaaS rompe el NDA. SCA se ejecuta localmente en su portátil — punto.
Productos con fuerte secreto industrial
Algoritmos, modelos, pipelines ML — código que es la propiedad intelectual. Sin dependencia externa = sin vector de fuga a terceros.
Arquitectura — qué se ejecuta dónde
StaticCodeAudit es una CLI Python autónoma. Lee archivos del disco, aplica reglas regex/AST de un catálogo local, y escribe un informe HTML autoportante. Sin demonio, sin agente, sin proceso en segundo plano, sin auto-actualización, sin SDK de analytics.
┌──────────────────────────────────────────────────┐ │ SU PORTÁTIL / SERVIDOR (red: cualquiera o ninguna) │ │ │ │ ┌──────────┐ ┌──────────┐ ┌────────┐ │ │ │ src/ │ ──▶ │ sca/ │ ──▶ │ report │ │ │ │ files │ │ CLI │ │ .html │ │ │ └──────────┘ └──────────┘ └────────┘ │ │ │ │ │ ▼ │ │ ┌────────────┐ │ │ │ rules/ │ │ │ │ (local) │ │ │ └────────────┘ │ │ │ │ Sin demonio. Sin agente. Sin SDK de telemetría. │ │ Se detiene cuando se ha escrito el informe. │ └──────────────────────────────────────────────────┘ ╳ NINGÚN HTTP/HTTPS saliente ╳ NINGUNA consulta DNS fuera de localhost ╳ NINGUNA llamada a casa para la licencia (modelo 100% sin conexión) ╳ NINGÚN servicio de reporte de errores ╳ NINGÚN canal de auto-actualización
Los packs de reglas CVE se entregan fuera de banda por adjunto de email firmado (SHA-256 + Ed25519). Usted los instala manualmente con sca --import-pack. Sin canal de descarga silencioso.
Compruébelo usted mismo en 30 segundos
Ejecute StaticCodeAudit detrás de tcpdump en un proyecto pequeño. Verá exactamente cero paquetes salir de su máquina durante toda la auditoría.
$ sudo tcpdump -i any 'host not 127.0.0.1 and host not ::1' & [1] 12345 $ ./run_audit.py /path/to/your/codebase 🔍 StaticCodeAudit — running 697 rules across 8 languages... ✅ Report generated: docs/audit-reports/SCA-REPORT-2026-05-10.html $ kill %1 0 packets captured 0 packets received by filter 0 packets dropped by kernel $ # Su código nunca salió de este terminal.
Usamos nuestra propia herramienta en nuestro propio código
Cada commit en el código fuente de StaticCodeAudit pasa por StaticCodeAudit mismo. El informe más reciente es público — ábralo y verifique las afirmaciones que hacemos sobre operación sin conexión, cero hallazgos en código de producción, y cobertura completa de cumplimiento.
Qué auditamos (y cómo)
- El repo completo — 16+ módulos Python, 27 000+ aserciones de test, 645+ reglas builtin. El mismo binario que descarga el cliente.
- Cada commit en main — localmente antes del push, más un snapshot publicado en cada release.
- Las 8 categorías activadas — security, code quality, architecture, maintenance, UI, UX, accessibility, dependencies. Ninguna categoría cherry-picked.
- Umbrales estrictos —
max_high = 0,min_health = 70. Un solo hallazgo nuevo de severidad alta bloquea la siguiente release. - Comparación histórica — cada informe compara con la baseline anterior. Regresión visible de un vistazo.
El informe es un archivo HTML autónomo. Guárdelo localmente, ábralo sin conexión — sin llamada de red para consultarlo. Hallazgos, distribución de severidades, drill-down archivo por archivo, y mapeo completo CWE / OWASP / ISO 27001 / ASVS / NIST CSF por issue.
Todos los informes de auto-auditoría pasados se conservan en el repo público github.com/ka8t/Audit-archives.
Cláusula tipo para su DPO / Asesoría jurídica
Copie y pegue esta cláusula en su registro de flujos de datos, su EIPD, o su evaluación de riesgos de proveedores. Es factualmente exacta para cualquier binario entregado por CodeFixture bajo una licencia StaticCodeAudit vigente.
« StaticCodeAudit de CodeFixture es una herramienta de línea de comandos autónoma que realiza análisis estático de código (SAST) íntegramente en la máquina local del cliente. La herramienta no inicia ninguna conexión de red saliente durante el análisis: el código fuente, los hallazgos intermedios y los informes finales se escriben exclusivamente en el sistema de archivos local. La verificación de licencia se realiza sin conexión contra una clave firmada, sin llamada a la infraestructura del proveedor. El código fuente del cliente no es por tanto transferido, almacenado ni procesado por CodeFixture. Los packs de reglas CVE se distribuyen fuera de banda por adjunto de email firmado y los instala manualmente el cliente. »
¿Necesita esta cláusula traducida al inglés, alemán, francés, o firmada por el fundador para su expediente de proveedor? Pídanoslo.
¿A dónde va su código? Compare.
| StaticCodeAudit | Snyk Code | SonarCloud | SonarQube auto-alojado | |
|---|---|---|---|---|
| Código fuente subido al proveedor | Nunca | Sí | Sí | No |
| Hallazgos almacenados en discos del proveedor | Nunca | Sí | Sí | No |
| Llamada de red saliente durante el escaneo | Cero | Requerido | Requerido | Verif licencia |
| Telemetría / analytics de uso | Ninguna | Sí | Sí | Opcional |
| Canal de auto-actualización | Ninguno (packs firmados manuales) | Sí | Sí | Manual |
| Expuesto a una brecha del proveedor | No expuesto | Sí | Sí | No |
Comparación basada en el modelo de despliegue publicado por cada proveedor en mayo de 2026. Snyk y SonarCloud son SaaS exclusivamente por defecto; SonarQube auto-alojado es un servidor desplegado por el cliente.
Hable con el ingeniero que lo construyó
¿Necesita una cláusula firmada para su DPO? ¿Un registro de auditoría de red? ¿Un diagrama de arquitectura para su EIPD? Lo más rápido: escriba directamente al fundador.
Contactar al fundador