Questions fréquentes

Le SAST (Static Application Security Testing) analyse le code source sans l'exécuter, identifiant les vulnérabilités, problèmes de qualité et violations de conformité avant le déploiement. StaticCodeAudit effectue du SAST sur 8 langages avec 698 règles de détection.

Non. StaticCodeAudit fonctionne 100 % hors-ligne sans aucun appel API externe. Votre code source ne quitte jamais votre machine. Le binaire est totalement autonome — aucun service cloud, aucune télémétrie, aucun phone-home.

Python, JavaScript/TypeScript, HTML (y compris templates Vue, Svelte, EJS, Jinja, Twig), Java, C#, PHP et YAML (pour l'analyse des pipelines CI/CD). Chaque langage dispose de règles de détection dédiées.

Contrairement à SonarQube (qui nécessite un serveur) ou ESLint (JavaScript uniquement), StaticCodeAudit est un outil autonome qui produit des rapports HTML indépendants sans infrastructure. Il supporte aussi la marque blanche, les rapports en 4 langues et l'analyse de workflows CI/CD — le tout gratuitement.

StaticCodeAudit mappe les findings sur OWASP Top 10, CWE (Common Weakness Enumeration), les règles d'accessibilité WCAG 2.1, la protection des données RGPD, OWASP CI/CD Top 10, ISO/IEC 27001:2022 Annexe A (matrice de conformité de 93 contrôles), et OWASP ASVS v5.0.0 (348 requirements répartis en 17 chapitres). Il exporte aussi au format SARIF 2.1.0 pour intégration avec les tableaux de sécurité GitHub et GitLab.

Oui. La marque blanche est gratuite et intégrée. Vous pouvez configurer le nom de l'outil, le nom de l'entreprise, le logo (SVG/PNG/JPG), le préfixe des fichiers et le favicon dans le audit.config.json de votre projet. Les rapports générés utilisent votre marque partout — en-têtes, pieds de page et onglet navigateur.

Les findings sont organisés en hiérarchie à 3 niveaux : d'abord par sévérité (Critical, High, Medium, Low, Info), puis par source (Code métier vs Dépendances), puis par catégorie (Sécurité, Architecture, UI, UX, Maintenance, etc.). Chaque niveau est repliable pour une navigation efficace.

Oui. Grâce à un cache des règles et à une analyse incrémentale basée sur le hash, les analyses à chaud sont jusqu'à 3× plus rapides que les analyses à froid. Seuls les fichiers modifiés depuis le dernier scan sont réanalysés, ce qui rend StaticCodeAudit particulièrement adapté aux pipelines CI/CD et aux hooks pre-commit.

Snyk Code est un SaaS — votre code source est envoyé dans le cloud de Snyk pour analyse, et le prix scale par développeur (25–40 $/dév/mois). StaticCodeAudit s'exécute 100 % sur votre machine — pas d'upload, pas de télémétrie — et facture la capacité (990 € à 11 990 €/an, pas de coût par siège). Les deux sont valides : prenez Snyk si vous acceptez le SaaS et voulez un workflow IDE-first ; prenez StaticCodeAudit si votre posture privacy ou votre conformité interdit l'envoi du code source à un cloud tiers.

Pour un déploiement strictement offline, les deux options principales sont StaticCodeAudit et SonarQube self-hosted. StaticCodeAudit est un binaire unique sans dépendances (à partir de 990 €/an). SonarQube self-hosted exige une infrastructure Java + base de données (2 500–20 000+ $/an). Les autres outils (Snyk, SonarCloud, GitHub Advanced Security, Semgrep Pro, Veracode) sont uniquement SaaS. Bandit et les plugins ESLint sont OSS gratuits mais couvrent un seul langage sans rapport de conformité unifié.

Les prix démarrent à 990 €/an (Solo). Solo Plus 1 590 €/an, Team 3 990 €/an (le plus populaire), Team Plus 11 990 €/an, Enterprise à partir de 30 000 €/an. Tous les plans sont des abonnements annuels sans coût par siège, sans frais d'installation, sans télémétrie. Démo gratuite disponible pour évaluation.

Non. Le binaire ne fait aucun appel réseau sortant en aucune circonstance. Aucune télémétrie, aucun check de version, aucune analytics. C'est un choix de conception structurel — le binaire ne contient pas de code réseau sortant du tout. La communication serveur→client (mises à jour de packs de règles, renouvellement de licence) passe par email et action manuelle de l'utilisateur sur le portail authentifié. Votre code source et vos résultats d'audit ne quittent jamais votre machine via l'analyseur.