Pourquoi StaticCodeAudit ?
Conçu pour les développeurs qui valorisent la confidentialité, la simplicité et la rigueur.
Sécurité avant tout
262 règles de sécurité couvrant l'injection SQL, le XSS, le SSRF, le path traversal, les secrets codés en dur, la désérialisation non sécurisée, la cryptographie faible, la sécurité des cookies, l'injection LDAP et plus. Mappées sur OWASP Top 10, CWE, RGPD, ISO 27001 Annexe A et OWASP ASVS v5.0.0.
Rapports professionnels
Rapports HTML autonomes avec 12+ graphiques interactifs, score de santé, comparaison historique et findings groupés par sévérité et par catégorie. Un seul fichier, aucun serveur requis.
Zéro dépendance
Binaire autonome unique. Aucun pip, aucun Node, aucun Docker, aucune API externe, aucun cloud, aucune télémétrie. Votre code ne quitte jamais votre machine.
6 catégories d'audit. 691 règles.
Couverture complète, des vulnérabilités de sécurité à la conformité d'accessibilité.
Sécurité
Injection SQL, XSS, SSRF, path traversal, secrets, eval, désérialisation, crypto faible, injection de commandes, injection LDAP, sécurité des cookies, conformité RGPD...
Architecture
Protection des routes admin, logique DB dans les routeurs, requêtes directes, patterns N+1, fichiers surdimensionnés.
Interface / UI
Styles inline, createElement manuel, fuites d'écouteurs, manipulation DOM en boucle.
Accessibilité / UX
Labels ARIA, texte alternatif, gestion du focus, autoplay, problèmes i18n, patterns de toast, détection console.log.
Maintenance
TODO/FIXME/HACK/XXX non résolus, APIs obsolètes (5 langages), exceptions catch-all, instructions de debug, suppresseurs d'erreurs.
CI/CD
Sécurité GitHub Actions, GitLab CI, injection d'expressions, permissions excessives, actions non épinglées.
Langages supportés
Pensé pour la vitesse en CI/CD
Cache des règles et analyse incrémentale gardent votre pipeline rapide même quand votre code grossit.
Cache des règles
Les règles DSL sont parsées une seule fois et conservées en cache entre les exécutions.
Analyse incrémentale
Seuls les fichiers modifiés depuis le dernier scan sont réanalysés, identifiés par hash de contenu.
3× plus rapide en analyse à chaud
Les scans successifs d'un code inchangé sont jusqu'à 3× plus rapides que le scan initial à froid.
La frontière offline
Séparation claire entre ce qui tourne en ligne (chez votre fournisseur) et ce qui tourne dans votre réseau (le binaire). L'email est le seul lien.
En ligne — géré par nous
Infrastructure CodeFixture
- ▸Veille CVE (NVD / OSV / GitHub Advisory)
- ▸L'opérateur écrit et valide les nouvelles règles en sandbox
- ▸Les packs de règles sont versionnés, hachés (SHA-256) et signés
- ▸Notification email envoyée aux abonnés actifs
Hors-ligne — votre environnement
Votre machine / votre CI
- ✓Le binaire s'exécute en local, ne fait aucun appel sortant
- ✓Vous récupérez manuellement les packs depuis votre portail authentifié
- ✓Chaque règle vérifiée SHA-256 avant chargement — altéré = rejeté
- ✓Les audits tournent avec builtin + packs + vos règles custom
Email + action manuelle de l'utilisateur — seul pont entre les deux mondes
Aucune télémétrie. Aucun appel sortant. Aucune sync en arrière-plan. Le binaire ne peut pas exfiltrer de code source ou de résultats d'audit parce qu'il n'a aucun code réseau sortant, point.
Cycle de réponse CVE, zéro appel sortant
Quand une nouvelle CVE tombe, vous restez à jour sans que votre binaire ne fasse le moindre appel sortant. Email + téléchargement manuel. Pack signé. Chargé automatiquement au prochain audit.
1
CVE détectée
Notre équipe surveille NVD / OSV / GitHub Advisory quotidiennement.
2
Règle écrite
L'opérateur écrit une règle .sca et la valide sur une sandbox.
3
Email aux abonnés
Vous recevez une notification avec un lien de téléchargement vers votre portail.
4
Vous téléchargez
Action manuelle. Le pack atterrit dans rules-updates/ à côté de votre binaire.
5
Chargement auto
L'audit suivant prend en compte les nouvelles règles. SHA-256 vérifié, jamais exécuté si altéré.
Le binaire fait ZÉRO appel sortant à chaque étape. Le cycle CVE existe en dehors du binaire, par conception.
Ce qui le rend unique
Des fonctionnalités exclusives introuvables dans les autres outils d'analyse statique.
Zéro dépendance
Binaire autonome — aucun installeur, aucun runtime à configurer, aucun prérequis.
100% Hors-ligne
Aucun appel réseau, aucune API, aucune télémétrie. Votre code ne quitte jamais votre machine.
Rapports HTML autonomes
Fichier unique autonome avec CSS, JS, Chart.js intégrés. Ouvrir dans tout navigateur, partager par email, imprimer en PDF.
Marque blanche
Nom d'outil, logo, préfixe fichiers et favicon personnalisables. Gratuit — aucune licence enterprise requise.
Rapports en 4 langues
Localisation complète FR/EN/ES/DE : règles, risques, solutions, bénéfices, labels, glossaire.
Comparaison historique
Baseline sur 10 snapshots d'audit par défaut (configurable). Suivi des problèmes nouveaux, résolus et persistants.
12+ graphiques interactifs
Chart.js intégré : sévérités, catégories, chronologie, tendances. Tooltips et responsive.
Rétention des rapports
Nettoyage automatique par nombre, durée ou les deux. Mode dry-run pour prévisualiser.
1136 tests unitaires
Chaque règle validée par fixtures vulnérable + propre. L'outil se teste lui-même.
Portabilité totale
Copiez le binaire, donnez-lui un chemin, exécutez-le. Aucune installation, aucun PATH à configurer, aucune config requise.
Hook pre-commit
Installer avec --install-hook. Audit automatique avant chaque commit.
Matrice ISO 27001
Matrice de conformité mappant 157 règles sur 93 contrôles Annexe A répartis en 4 thèmes. Couverture par thème avec indicateurs visuels.
OWASP ASVS v5.0.0
Matrice de conformité mappant 106 règles sur 348 requirements ASVS répartis en 17 chapitres et 3 niveaux (L1/L2/L3).
Groupement par catégorie
Findings groupés par sévérité, puis par source (Code métier / Dépendances), puis par catégorie. Sections repliables pour une navigation efficace.
Mode impression
Version imprimable en un clic. Toutes les sections dépliées, mise en page optimisée pour l'export PDF et l'impression papier.
Navigation clavier
Naviguer entre les findings avec les raccourcis j/k, retour en haut avec Ctrl+Home. Revue efficace sans souris.
Règles personnalisées
Créez vos propres règles avec un DSL simple. Pas besoin de regex — du texte brut avec * comme joker. Wizard interactif inclus.
Playbook de remédiation
Instructions de correction pas-à-pas intégrées dans chaque finding. Références CWE, OWASP Top 10 et ISO 27001 en ligne.
Conçu pour les quatre personnes qui en ont besoin
Pour chaque rôle, le livrable qui fait vraiment gagner du temps le lundi matin.
Lead DevSecOps
Intégrez SAST dans votre CI sans céder le code source
Bloquez fuites de secrets, injections SQL et path traversal au moment de la pull request — sans téléverser le code source vers un scanner tiers. SARIF alimente directement les dashboards GitHub/GitLab. Votre CI obtient un gate sécurité ; votre code reste sur vos runners.
RSSI / DSI sécurité
Passez votre audit ISO 27001 sans fuiter votre code source
Remettez à votre auditeur un seul HTML avec la matrice ISO 27001 Annexe A pré-remplie — 93 contrôles, cochés ou signalés avec le fichier:ligne en cause. Zéro appel sortant, zéro convention de traitement de données. Votre auditeur cesse de demander où est stocké votre code source.
Audit interne / équipe pentest
Lancez des audits reproductibles sur plusieurs projets internes
Auditez une douzaine de dépôts internes avec le même binaire — même base de règles, même format de rapport, même baseline comparative. Ajoutez vos standards internes comme règles .sca personnalisées. Chaque mission produit un HTML auto-portant à joindre au dossier d'audit.
Responsable conformité
Automatisez ASVS / NIST CSF / CycloneDX dans un seul HTML
OWASP ASVS v5.0.0 (348 vérifications), NIST CSF 2.0 (108 sous-catégories) et un SBOM CycloneDX 1.5 — tout généré dans le même scan. Économisez environ deux jours par dépôt audité que votre vérificateur n'a plus à mapper manuellement.
Comparaison
Découvrez comment StaticCodeAudit se positionne face aux outils d'analyse statique classiques.
| Fonctionnalité | StaticCodeAudit | Outils SAST classiques |
|---|---|---|
| SAST multi-langage | 698 règles, 8 langages | Mono-langage |
| 100% Hors-ligne | ✓ | Rare |
| Zéro dépendance | ✓ | pip / npm / Go |
| Rapports HTML autonomes | 12+ graphiques, imprimable | Serveur requis |
| Marque blanche | Gratuit | Payant |
| Rapports en 4 langues | FR/EN/ES/DE | ✗ |
| Comparaison historique | 10 instantanés (configurable) | Cloud uniquement |
| Export SARIF | ✓ | ✓ |
| Génération SBOM | CycloneDX 1.5 | Limité |
| Conformité ISO 27001 | 93 contrôles Annexe A | ✗ |
| OWASP ASVS v5.0.0 | 348 requirements, 17 chapitres | ✗ |
| Audit workflows CI/CD | 8 règles GHA + GitLab | Outils spécialisés |
| Installation requise | Aucune | pip / npm / Go |