Pourquoi le hors-ligne compte
La plupart des éditeurs SAST exécutent leur analyse sur leur propre infrastructure : vous téléversez votre code source, ils renvoient les findings. Même « chiffré en transit », ce code source est désormais stocké sur les disques d'un tiers, indexé par ses moteurs internes, accessible à son personnel sur réquisition, et à une faille de la concurrence.
Industries réglementées
Défense, santé (HDS), finance, secteur public — votre code peut légalement ne pas quitter le pays, encore moins votre périmètre.
Cabinets d'audit & consultants
Vous auditez le code de tiers sous NDA. L'envoyer à un scanner SaaS rompt le NDA. SCA tourne en local sur votre poste — point final.
Produits à fort secret industriel
Algorithmes, modèles, pipelines ML — du code qui est la propriété intellectuelle. Aucune dépendance externe = aucun vecteur de fuite tiers.
Architecture — ce qui tourne où
StaticCodeAudit est une CLI Python autonome. Elle lit les fichiers du disque, applique des règles regex/AST depuis un catalogue local, et écrit un rapport HTML auto-portant. Pas de démon, pas d'agent, pas de processus en arrière-plan, pas d'auto-update, pas de SDK d'analytics.
┌──────────────────────────────────────────────────┐ │ VOTRE POSTE / SERVEUR (réseau : quelconque ou aucun) │ │ │ │ ┌──────────┐ ┌──────────┐ ┌────────┐ │ │ │ src/ │ ──▶ │ sca/ │ ──▶ │ report │ │ │ │ files │ │ CLI │ │ .html │ │ │ └──────────┘ └──────────┘ └────────┘ │ │ │ │ │ ▼ │ │ ┌────────────┐ │ │ │ rules/ │ │ │ │ (local) │ │ │ └────────────┘ │ │ │ │ Pas de démon. Pas d'agent. Pas de SDK de télémétrie. │ │ S'arrête une fois le rapport écrit. │ └──────────────────────────────────────────────────┘ ╳ AUCUN HTTP/HTTPS sortant ╳ AUCUNE résolution DNS hors localhost ╳ AUCUN appel-maison pour la licence (modèle 100 % hors-ligne) ╳ AUCUN service de remontée d'erreurs ╳ AUCUN canal d'auto-update
Les packs de règles CVE sont livrés hors-bande par pièce jointe email signée (SHA-256 + Ed25519). Vous les installez manuellement avec sca --import-pack. Aucun canal de téléchargement silencieux.
Vérifiez par vous-même en 30 secondes
Lancez StaticCodeAudit derrière tcpdump sur un petit projet. Vous verrez exactement zéro paquet quitter votre machine pendant la durée de l'audit.
$ sudo tcpdump -i any 'host not 127.0.0.1 and host not ::1' & [1] 12345 $ ./run_audit.py /path/to/your/codebase 🔍 StaticCodeAudit — running 697 rules across 8 languages... ✅ Report generated: docs/audit-reports/SCA-REPORT-2026-05-10.html $ kill %1 0 packets captured 0 packets received by filter 0 packets dropped by kernel $ # Votre code n'a jamais quitté ce terminal.
On utilise notre propre outil sur notre propre code
Chaque commit du code source de StaticCodeAudit est passé au crible de StaticCodeAudit lui-même. Le rapport le plus récent est public — ouvrez-le et vérifiez les affirmations que nous faisons sur l'opération hors-ligne, zéro finding sur le code de production, et la couverture conformité complète.
Ce que nous auditons (et comment)
- Le repo complet — 16+ modules Python, 27 000+ assertions de tests, 645+ règles builtin. Le même binaire que le client télécharge.
- Chaque commit sur main — localement avant push, plus un snapshot publié à chaque release.
- Les 8 catégories activées — security, code quality, architecture, maintenance, UI, UX, accessibility, dependencies. Aucune catégorie cherry-picked.
- Seuils stricts —
max_high = 0,min_health = 70. Un seul nouveau finding sévérité haute bloque la release suivante. - Comparaison historique — chaque rapport compare à la baseline précédente. Régression visible d'un coup d'œil.
Le rapport est un fichier HTML auto-contenu. Sauvegardez-le localement, ouvrez-le hors-ligne — aucun appel réseau nécessaire pour le consulter. Findings, répartition des sévérités, drill-down fichier par fichier, et mapping complet CWE / OWASP / ISO 27001 / ASVS / NIST CSF par issue.
Tous les rapports d'auto-audit passés sont préservés dans le repo public github.com/ka8t/Audit-archives.
Clause type pour votre DPO / Service juridique
Copiez-collez cette clause dans votre registre des flux de données, votre AIPD, ou votre évaluation des risques fournisseurs. Elle est factuellement exacte pour tout binaire livré par CodeFixture sous une licence StaticCodeAudit valide.
« StaticCodeAudit, édité par CodeFixture, est un outil en ligne de commande autonome qui réalise une analyse statique de code (SAST) entièrement sur la machine locale du client. L'outil n'initie aucune connexion réseau sortante pendant l'analyse : code source, findings intermédiaires et rapports finaux sont écrits exclusivement sur le système de fichiers local. La vérification de licence se fait hors-ligne contre une clé signée, sans appel à l'infrastructure de l'éditeur. Le code source du client n'est donc ni transféré à, ni stocké par, ni traité par CodeFixture. Les packs de règles CVE sont distribués hors-bande par pièce jointe email signée et installés manuellement par le client. »
Besoin de cette clause traduite en anglais, allemand, espagnol, ou signée par le fondateur pour votre dossier fournisseur ? Demandez-nous.
Où va votre code ? Comparez.
| StaticCodeAudit | Snyk Code | SonarCloud | SonarQube auto-hébergé | |
|---|---|---|---|---|
| Code source téléversé chez l'éditeur | Jamais | Oui | Oui | Non |
| Findings stockés sur les disques de l'éditeur | Jamais | Oui | Oui | Non |
| Appel réseau sortant pendant le scan | Zéro | Requis | Requis | Vérif licence |
| Télémétrie / analytics d'usage | Aucune | Oui | Oui | Optionnel |
| Canal d'auto-update | Aucun (packs signés manuels) | Oui | Oui | Manuel |
| Exposé à une faille de l'éditeur | Non exposé | Oui | Oui | Non |
Comparaison fondée sur le modèle de déploiement publié par chaque éditeur en mai 2026. Snyk et SonarCloud sont SaaS uniquement par défaut ; SonarQube auto-hébergé est un serveur déployé par le client.
Parlez à l'ingénieur qui l'a construit
Besoin d'une clause signée pour votre DPO ? D'un journal d'audit réseau ? D'un schéma d'architecture pour votre AIPD ? Le plus rapide : écrire au fondateur en direct.
Contacter le fondateur