L'usage 1 binaire, N clients
Avec une seule licence StaticCodeAudit, vous pouvez auditer autant de codebases client distinctes que vous le souhaitez. L'outil tourne localement sur votre poste — le code de votre client ne quitte jamais votre machine, et vous lui remettez en fin de mission un rapport PDF/HTML entièrement à votre marque.
Cabinets d'avocats (PI, M&A)
Revue de code en escrow, analyse de contrefaçon de brevet, due-diligence sur une cible — le tout sous secret professionnel. SAST cloud = rupture du secret.
Due-diligence technique
Tech DD pour fonds PE/VC, évaluation qualité du code avant acquisition. Le code de la cible est partagé sous NDA strict — le téléverser sur un SaaS fait capoter la transaction.
Cabinets d'audit (cybersécurité, conformité)
Audits ISO 27001 / SOC 2 / RGPD où le client veut que l'audit soit réalisé sur site, sans aucun trafic sortant de son réseau.
Rapports en marque blanche
Configurez le nom de l'outil, la raison sociale, le logo, le préfixe de fichier et la favicon dans audit.config.json. Le rapport HTML est livré à votre marque, pas à la nôtre. Votre client voit un rapport d'audit émis par votre cabinet, propulsé par un outil dont il n'a même pas besoin de connaître l'existence.
La marque blanche est incluse gratuitement dans chaque tier payant (Solo et au-delà).
Tarifs pour auditeurs
Le tier Solo Plus (1 590 €/an) couvre 2 machines et 100 K SLOC par scan — généralement suffisant pour un consultant indépendant travaillant sur plusieurs clients en parallèle.
Pour les cabinets d'audit avec plusieurs missions simultanées, Team (3 990 €/an, 4 500 fichiers / 500 K SLOC) ou Team Plus (11 990 €/an, 10 K fichiers / 2 M SLOC) est typiquement le bon format. Voir le modèle de tarification.
Pourquoi un SAST SaaS est exclu par la plupart des NDA de mission
La plupart des NDA signés avec des clients d'audit interdisent la transmission du code source à des tiers — explicitement ou implicitement via les clauses sur traitement, stockage et sous-traitants. Les outils SAST SaaS (Snyk Code, SonarCloud, GitHub Advanced Security) téléversent le code source vers l'infrastructure de l'éditeur pour analyse. L'éditeur devient un sous-traitant des données client, ce qui impose typiquement :
- Ajouter le SAST à la liste des sous-traitants autorisés (souvent refusé).
- Mettre à jour le DPA / Annexe F de la mission pour divulguer l'upload.
- Démontrer que les certifications SOC 2 / ISO 27001 de l'éditeur satisfont le niveau exigé.
- Renégocier les honoraires si le pricing de l'éditeur expose le volume de données client.
- Auditer les procédures de rétention et suppression des données chez l'éditeur.
StaticCodeAudit élimine toute cette chaîne : le binaire tourne sur la machine de l'auditeur (ou un poste prêté par le client), aucun upload, aucun traitement tiers. Le NDA existant couvre déjà ce cas — pas d'avenant nécessaire.
Livrables d'audit acceptables par un régulateur (ou un juge)
- Rapport HTML auto-contenu avec en-tête brandable — s'ouvre dans n'importe quel navigateur, aucune connexion internet requise pour consulter.
- SARIF JSON (standard OASIS) — lisible machine, s'intègre au GRC ou tracker de vulnérabilités existant du client.
- SBOM (CycloneDX) — requis pour les attestations de chaîne d'approvisionnement logiciel sous NIS2 récente et l'Executive Order 14028 US.
- Comparaison historique baseline — montre « ce qui a changé entre v1.2 et v1.3 » dans le même rapport.
- Mapping CWE / OWASP / ISO 27001 / ASVS / NIST CSF par finding — chaque issue est traçable à un standard publié, reconnu par tribunaux et régulateurs.
Chaque rapport est un fichier .html unique archivable avec la lettre de mission, les feuilles de travail et l'opinion finale. Pas de CDN externe, pas de scripts distants — fonctionne en salle d'évidence scellée.
Questions fréquentes (cabinets juridiques)
StaticCodeAudit fait-il des appels réseau sortants pendant l'analyse ?
Zéro. Le binaire n'initie ni HTTP, ni DNS, ni aucun appel réseau pendant un scan. Vérifiable avec tcpdump -i any host www.codefixture.com pendant qu'un scan tourne — le fichier de capture sera vide. Cette affirmation fait partie de notre posture publique et nous accueillons la vérification par votre équipe technique.
Peut-on lancer StaticCodeAudit sur un poste fourni par le client ?
Oui. Le binaire est portable : déposez-le sur le poste, lancez-le, copiez le rapport HTML dans votre dossier d'audit. Pas d'installation, pas de droits admin requis, pas de modification de registre sous Windows. Si le poste client est air-gapped, le binaire tourne quand même.
Que doit fournir l'auditeur au client dans le cadre de la mission ?
Typiquement : la lettre de mission ; la licence StaticCodeAudit utilisée (un de nos tiers payants) ; le hash du binaire (SHA-256 publié sur notre page download) ; et le rapport HTML lui-même. Le client peut vérifier le hash pour confirmer que le binaire est non modifié.
Le rapport peut-il être expurgé avant livraison au client ?
Oui. Le rapport HTML est en texte clair — vous pouvez l'ouvrir dans n'importe quel éditeur et retirer des paragraphes (ex. findings que l'auditeur juge hors-scope). Le SARIF JSON est aussi éditable. Le format « dossier d'audit » permet de relire et expurger chaque artefact avant remise.
L'utilisation de StaticCodeAudit affecte-t-elle le poids juridique de notre opinion ?
Elle le renforce. Chaque finding est mappé à un standard reconnu publiquement (CWE, ASVS, OWASP). Quand vous affirmez « aucun finding sévérité haute contre ASVS v5 §4 », cette assertion est reproductible par un autre auditeur lançant le même outil sur le même code. Les outils SaaS, à l'inverse, exécutent un modèle ML opaque — vous ne pouvez pas reproduire l'analyse sans accès au cloud de l'éditeur.
Besoin d'un rapport modèle pour une mission client ?
Ouvrez la démo en ligne, en marque blanche aux couleurs de votre cabinet. Ou réservez une présentation de 20 minutes où nous exécutons StaticCodeAudit sur un échantillon de code que vous apportez.
Ouvrir le rapport en ligne Réserver une démo