Couverture conformité 100 %
Chacune des 697 règles builtin est mappée à un standard publié. Aucune règle ne sort sans ancrage de traçabilité.
En complément, ISO/IEC 27001:2022 (93 contrôles), OWASP ASVS v5.0.0 (348 exigences) et NIST CSF 2.0 (108 sous-catégories) sont matricés dans chaque rapport. Les findings transportent leurs métadonnées de conformité en JSON, SARIF (rule.properties.tags) et HTML.
Standards pris en charge
Chaque résultat est associé à un ou plusieurs standards internationaux.
OWASP Foundation · USA
OWASP Top 10
Les 10 risques de sécurité les plus critiques sur le web. SCA étiquette chaque finding avec sa catégorie Top 10 pour identifier la classe de risque immédiatement.
MITRE · USA
CWE
Catalogue MITRE de plus de 1 000 faiblesses logicielles. Identifiants standardisés (ex. CWE-89 pour l'injection SQL) pour comparer les outils sans ambiguïté.
W3C · International
WCAG 2.1
Standard d'accessibilité W3C. Obligatoire dans le secteur public UE/US et imposé au privé par l'European Accessibility Act 2025.
Union européenne · 2018
RGPD / GDPR
Règlement européen de protection des données personnelles. SCA signale les données en dur et le chiffrement manquant sur les champs sensibles. Amendes jusqu'à 4 % du CA mondial.
OWASP Foundation · USA
OWASP CI/CD
Top 10 des risques propres aux pipelines CI/CD. SCA scanne GitHub Actions et GitLab CI — les pipelines ont un accès direct aux secrets et à la production.
OASIS / OWASP · International
SARIF & SBOM
Exports standards de l'industrie. SARIF alimente GitHub Code Scanning et GitLab SAST ; SBOM CycloneDX est exigé par le décret américain 14028 pour les contractants fédéraux.
ISO + IEC · International
ISO 27001
Catalogue de contrôles ISMS (93 contrôles Annexe A). Souvent exigé par les contrats grands comptes pour la certification.
OWASP Foundation · USA
OWASP ASVS
Checklist de vérification sécurité applicative (348 requirements). Ce que les auditeurs exécutent pour valider la sécurité.
NIST · USA
NIST CSF 2.0
Résultats de cybersécurité répartis sur 6 fonctions. Imposé aux contractants fédéraux US, adopté en finance et santé.
ISO/IEC 27001:2022 — Annex A
ISO + IEC · International
ISO/IEC 27001:2022 — Annex A
Matrice de conformité mappant 157 règles de détection sur 93 contrôles Annexe A.
La certification ISO/IEC 27001 est une exigence contractuelle pour beaucoup de clients grands comptes et le standard ISMS international de facto. Le catalogue Annexe A donne aux auditeurs une checklist des garde-fous. SCA pré-remplit les contrôles technologiques (A.8) visibles dans le code source — votre auditeur se concentre sur les processus, pas la relecture de code.
Les outils SAST couvrent principalement les contrôles technologiques (A.8). La matrice de conformité indique quels contrôles sont testables par analyse statique, pas une certification de conformité complète.
Les 93 contrôles — cliquez sur un thème pour développer
La couverture par SAST est intrinsèquement partielle : les contrôles de sécurité physique (A.7) et RH (A.6) requièrent des mesures organisationnelles hors du périmètre de l'analyse statique. SCA couvre ce que le code peut prouver.
OWASP ASVS v5.0.0
OWASP Foundation · USA
OWASP ASVS v5.0.0
Matrice de conformité mappant 106 règles de détection sur 348 requirements ASVS répartis en 17 chapitres.
Là où l'OWASP Top 10 liste les risques les plus courants, l'ASVS liste les vérifications qu'un auditeur effectue sur une application. Structuré par chapitre (V1 architecture, V3 sessions, V6 cryptographie…) et par niveau (1, 2, 3). SCA automatise les vérifications de niveau 1 sur les entrées/sorties, libérant les vérificateurs pour la modélisation des menaces et la revue de design.
ASVS v5.0.0 définit 348 requirements répartis en 17 chapitres. Les outils SAST peuvent vérifier ~24% d'entre eux — les exigences runtime, infrastructure et procédurales nécessitent une évaluation séparée.
NIST CSF 2.0
NIST · USA
NIST CSF 2.0
NIST Cybersecurity Framework 2.0 — couverture des sous-catégories détectables par analyse statique.
NIST CSF 2.0 est le framework de cybersécurité de facto pour les contractants fédéraux américains, de plus en plus adopté en finance et santé. Contrairement à l'ISO 27001 (qui liste des contrôles), le CSF liste des résultats — ce que votre programme sécurité doit atteindre. SCA couvre les sous-catégories techniques sous Protect, Detect et Identify ; les fonctions Govern, Respond et Recover sont organisationnelles, hors du périmètre SAST.
La couverture porte sur les sous-catégories techniques détectables par SAST. Les fonctions Respond (RS) et Recover (RC) sont organisationnelles — hors du périmètre de l'analyse statique.
Authoritative sources
Direct links to every standards body referenced on this page.