Statische Code-Analyse, Dependency-CVE-Checks und KI-gestützte Überprüfung für PHP, JavaScript, Python und mehr. Upload per SFTP, FTP, Git oder ZIP.
Acht Analysemodule für eine gründliche, statische Sicherheitsprüfung Ihres Quellcodes.
Unsichere Datenbankabfragen, ungefilterte Ausgaben, fehlende Input-Validation in 7 Programmiersprachen
API-Keys, Passwörter, Tokens und Datenbankzugangsdaten direkt im Quellcode oder Konfigurationsdateien
package.json, composer.json, requirements.txt — bekannte CVEs in eingebundenen Bibliotheken
Base64-obfuskierter Code, Shell-Backdoors, eval()-Missbrauch, verdächtige Datei-Operationen
wp-config.php, unsichere Plugins, Theme-Code ohne Sanitization, AJAX-Handler ohne Nonce
.env, .htaccess, nginx.conf, docker-compose.yml auf unsichere Einstellungen prüfen
Anbieterneural: Claude (Anthropic), GPT-4o (OpenAI) oder Gemini — KI erklärt Schwachstellen und schlägt konkrete Fixes vor.
Regelbasierte statische Analyse ohne Code-Ausführung; sichere Verarbeitung auch sensibler Codebasen
Flexibler Upload — von der einzelnen Datei bis zum vollständigen Git-Repository.
Keine dauerhafte Speicherung: Ihr Code wird nach der Analyse gelöscht.
Der Code-Audit analysiert keine ausführbaren Dateien und führt keinen Code aus. Die Analyse ist rein statisch (SAST) — sicher auch für Produktionscode.
Breite Sprachunterstützung für moderne Web- und Backend-Technologien.
Code-Audit ist Bestandteil des Professional-Plans.
Nein. Ihr Code wird ausschließlich für die Dauer der Analyse verarbeitet und danach vollständig gelöscht. Es findet keine dauerhafte Speicherung, kein Training von KI-Modellen auf Ihren Daten und keine Weitergabe an Dritte statt. Auf Wunsch können Sie den Löschzeitpunkt im Dashboard selbst steuern.
Ja. Per SFTP oder Git können auch umfangreiche Codebasen übergeben werden. Beim ZIP-Upload liegt das aktuelle Limit bei 100 MB. Für sehr große Repositories empfehlen wir die SFTP- oder Git-Integration, die auch inkrementelle Analysen bei neuen Commits unterstützt.
SAST (Static Application Security Testing) analysiert den Quellcode ohne ihn auszuführen — schnell, reproduzierbar und sicher für Produktionscode. Ein manueller Penetrationstest prüft eine laufende Anwendung durch simulierte Angriffe und deckt Laufzeit-Schwachstellen auf, die statische Analyse nicht erkennt. Beide Methoden ergänzen sich; urbanaudits Code-Audit ist kein Ersatz für einen manuellen Pentest, senkt aber den Aufwand und die Kosten erheblich.
Der KI-Code-Review basiert auf Claude (Anthropic). Claude analysiert Code-Muster im Kontext, erklärt Schwachstellen verständlich und formuliert konkrete, umsetzbare Fix-Vorschläge — direkt im Bericht, ohne separate KI-Konsole.
Ja. Im Professional-Plan und höher können Sie Ihren eigenen Anthropic-API-Key hinterlegen (BYO-AI). So behalten Sie volle Kontrolle über die KI-Verarbeitung, profitieren von eigenen Nutzungslimits und vermeiden, dass Ihre Code-Analyse über geteilte Infrastruktur läuft.