Das Sicherheitsaudit, das Sie Ihrem Kunden in Rechnung stellen.
Kein internes Dashboard für Ihr Team. Ein signiertes PDF in Ihrem Namen, Ihrer Rechnung beigefügt. Für Next.js / Node Freelancer und Agenturen vor dem Launch.
Signed by Hykaro Security · Independent Security Consultant
Verified
/ semgrep
/ trivy
/ gitleaks
/ npm audit
/ osv-scanner
/ bandit
/ checkov
/ hadolint
/ tflint
/ kube-bench
/ eslint-security
/ axe-core
/ pa11y
/ lighthouse
/ rgaa-checker
/ sonarjs
/ phpstan
/ psalm
/ mypy
/ ruff
/ clippy
/ gosec
/ semgrep
/ trivy
/ gitleaks
/ npm audit
/ osv-scanner
/ bandit
/ checkov
/ hadolint
/ tflint
/ kube-bench
/ eslint-security
/ axe-core
/ pa11y
/ lighthouse
/ rgaa-checker
/ sonarjs
/ phpstan
/ psalm
/ mypy
/ ruff
/ clippy
/ gosec
app.hykaro.security/scans/019e0d93
LIVE / 22 SCANNERS
Was Sie nach einem Scan erhalten: konsolidierte Findings, Schweregrad, betroffene Dateien, PDF versandfertig.
Fonctionnalités
Für die Kundenablieferung entwickelt. Nicht für Ihr Team.
Kein internes Dashboard. Ein signiertes, datiertes White-Label-PDF in Ihrem Namen, bereit für Ihre Rechnung.
01
White-Label-PDF in Ihrem Namen
Ihr Logo, Ihre Unterschrift, Ihr Branding. Sie übergeben das PDF Ihrem Kunden mit Ihrer Rechnung. Für den Kunden ist kein Hykaro-Hinweis sichtbar. Ihr Audit, Ihre Marke.
02
22 relevante Scanner
Automatische Stack-Erkennung. Kein generisches Rauschen: SAST, Secrets, Abhängigkeiten, IaC, Web, gezielt für Next / Node / PHP / Python.
03
EU-gehostet, DSGVO-konform
Scaleway Paris. Ihre Daten verlassen die EU nie. DPA auf Anfrage erhältlich.
04
KI-Triage durch Claude
Standard-Tarif und höher. Anthropic Claude markiert False-Positives. Sie lesen nur die echten Findings.
05
Audit bis PDF, ohne Konfiguration
Repository verbinden → Scan → PDF. Keine Konfiguration, keine Kreditkarte für die 19 €-Demo.
Docker --network=none
/DSGVO-konform
/TLS 1.3 · AES-256
/100% EU (Scaleway)
Mit einem KI-Assistenten programmiert? Wir finden, was er übersehen hat.
Claude Code, Cursor, v0, Lovable, Bolt: alle liefern 10x schneller. Keiner liest einen Scan-Report. Hykaro liest für Sie nach, bevor Sie in die Produktion pushen.
19 € Demo auf Ihrem echten Projekt. Vollständiges PDF in unter 30 Minuten.
Hartcodierte API-Schlüssel
OpenAI, Stripe, AWS-Tokens in .env.example, Fixtures oder Tests, die vom Assistenten generiert wurden.
Halluzinierte Abhängigkeiten
npm-Pakete, die vom LLM erfunden wurden, nicht existierende Versionen, aufgegebene Abhängigkeiten mit bekannten CVEs.
Unsichere API-Routen
Nicht validierte Deserialisierung, XSS via dangerouslySetInnerHTML, SQL-Injection durch String-Verkettung.
Dockerfile Root + Latest-Tags
Container läuft als Root, :latest ohne Pinning, Secrets in Build-Argumenten. Standardmäßige LLM-Ausgabe.
So funktioniert es
Vom Repository zum PDF, an einem Nachmittag.
Drei Schritte. Keine Konfiguration, keine Kreditkarte für die Demo. Sie verbinden, wir scannen, Sie liefern.
Schritt 01
Verbinden Sie Ihr GitHub-Repository.
Installieren Sie die schreibgeschützte Hykaro GitHub App, wählen Sie das zu prüfende Repository. Kein lokaler Clone, keine Konfigurationsdatei. Stack wird beim Server-Clone automatisch erkannt.
GitHub · Repository wählenOrg · acme
acme/apimain
acme/webshop
acme/landing-v2main
Berechtigungenread-only
Schritt 02
22 Scanner laufen parallel.
SAST, Secrets, Abhängigkeiten, IaC, Web. Isolierter Docker-Container mit --network=none. Anthropic Claude triagiert False-Positives. Unter 30 Minuten bei einem Standardprojekt.
scan #4711Läuft
gitleaksok
semgrepok
trivyok
bearerLäuft
lighthousewartend
14 / 22 scanners~12 min
Schritt 03
White-Label-PDF, bereit für den Kunden.
Ihr Logo, Ihre Unterschrift, Ihre Farben. Fügen Sie das PDF Ihrer Rechnung bei, der Kunde sieht Hykaro nie. Mindestens 90 Tage Aufbewahrung, je nach Tarif.
ACME-AUDIT-2026-05.pdfPDF · 2.4 Mb
Audit-Bericht
ACME-AUDIT-2026-05
score
A−
0
critical
2
high
7
medium
Signiert vonAcme Studio
Entwickelt für die Stacks, die Sie wirklich verkaufen.
Automatische Erkennung. Wir wählen die 22 Scanner, die für Ihr Projekt wichtig sind.
Next.js
React
Node
TypeScript
PHP
Symfony
Laravel
Python
relevante Scanner
22
durchschnittliche Dauer
<30 Min.
Hosting (Scaleway)
100% EU
Ein Projekt. Ein Preis. Kein Abonnement.
Preisgestaltung pro Projekt, nie pro Seat. Starten Sie kostenlos mit einem Projekt, zahlen Sie beim Liefern.
Demo
Auf Ihrem echten Projekt evaluieren
24h-Fenster · unbegrenzte Scans
1 Ziel (1 Repository oder 1 URL)
Hykaro-gebrandetes PDF (kein White-Label)
Keine KI-Triage
19 € werden auf jeden Tarif angerechnet
Demo · one-shot
Essential
Einmaliges Audit in Ihrem Namen
7-Tage-Fenster · unbegrenzte Scans
Bis zu 3 Ziele (Repositories + URLs)
White-Label-PDF (Logo, Unterschrift)
WCAG + BITV + EAA Barrierefreiheitsaudit enthalten (opt-in)
GitHub-Webhook: automatischer Scan bei Push
90 Tage Download-Aufbewahrung
pro Projekt · one-shot
Empfohlen
Standard
Am häufigsten gewählt
30-Tage-Fenster · unbegrenzte Scans
Bis zu 5 Ziele
WCAG + BITV + EAA Barrierefreiheitsaudit enthalten (opt-in)
KI-Triage durch Claude (False-Positives)
Scan-übergreifender Diff (Regressionserkennung)
GitHub-Webhook + E-Mail-Support <24h
pro Projekt · one-shot
Premium
Audit + geführte Behebung
90-Tage-Fenster · unbegrenzte Scans
Bis zu 10 Ziele (Repositories + URLs)
Compliance-Bericht (DSGVO + WCAG + BITV + EAA)
30-minütiger Loom-Walkthrough durch Experten
30-minütiger Q&A-Call nach Lieferung
KI-Triage + Diff + Priority-Support
pro Projekt · one-shot
Mehrere Audits benötigt? Kaufen Sie degressive Essentiel-Pakete (bis zu −25%). Credit-Pakete ansehen
Alle Preise zzgl. MwSt. Vollständige Rückerstattung, wenn ein Scan fehlschlägt oder der Bericht leer ist. Der Scan selbst ist kostenlos: wir berechnen das Abonnement (kontinuierliches CI-Tracking) und das Kundenlieferobjekt (einmaliges PDF).
Vergleich
Warum Hykaro statt der Enterprise-Tools?
Snyk, Aikido, Semgrep Pro sind kontinuierliche Entwicklungsplattformen für interne Teams. Hykaro ist das Tool des Dienstleisters: ein signiertes Audit, das Sie Ihrem Kunden liefern.
Kriterium
Hykaro
Einmalig · Dienstleister
Snyk
SaaS-Abonnement
Aikido
SaaS-Abonnement
Semgrep Pro
SaaS-Abonnement
Einstiegspreis
19 € einmalig
$25/Mo./Entwickler
$290/Mo.
$1000/Mo.
Modell
Pro Projekt
Seat-Abonnement
Abonnement
Abonnement
Kundenreifes White-Label-PDF
WCAG + BITV + EAA Audit enthalten
Einrichtung
30 Min.
1 bis 2 Tage
1 Tag
2 bis 3 Tage
EU-Hosting
Scaleway Paris
USA
USA/EU
USA
KI-Triage
teilweise
Für Freelancer vor dem Launch entwickelt
Hykaro
Einmalig · Dienstleister
Einstiegspreis
19 € einmalig
Modell
Pro Projekt
Kundenreifes White-Label-PDF
WCAG + BITV + EAA Audit enthalten
Einrichtung
30 Min.
EU-Hosting
Scaleway Paris
KI-Triage
Für Freelancer vor dem Launch entwickelt
Snyk
SaaS-Abonnement
Einstiegspreis
$25/Mo./Entwickler
Modell
Seat-Abonnement
Kundenreifes White-Label-PDF
WCAG + BITV + EAA Audit enthalten
Einrichtung
1 bis 2 Tage
EU-Hosting
USA
KI-Triage
Für Freelancer vor dem Launch entwickelt
Aikido
SaaS-Abonnement
Einstiegspreis
$290/Mo.
Modell
Abonnement
Kundenreifes White-Label-PDF
WCAG + BITV + EAA Audit enthalten
Einrichtung
1 Tag
EU-Hosting
USA/EU
KI-Triage
teilweise
Für Freelancer vor dem Launch entwickelt
Semgrep Pro
SaaS-Abonnement
Einstiegspreis
$1000/Mo.
Modell
Abonnement
Kundenreifes White-Label-PDF
WCAG + BITV + EAA Audit enthalten
Einrichtung
2 bis 3 Tage
EU-Hosting
USA
KI-Triage
Für Freelancer vor dem Launch entwickelt
→ Hykaro = lieferbares Kundenaudit. Keine kontinuierliche Entwicklungsplattform.
Nicht aufgeführt? Schreiben Sie mir: hello@basile.tigerbox.app
Ein anderes Konzept. Snyk und Aikido verkaufen ein internes Dashboard an interne Teams: Abonnement pro Entwickler, Bericht bleibt auf Ihrer Seite. Hykaro erstellt ein White-Label-PDF, das Sie Ihrem Kunden mit Ihrer Rechnung übergeben. Es ist ein Dienstleister-Tool, kein internes Team-Tool.
Essential-Tarif und höher: Ihr Logo, Ihre Unterschrift, Ihre Farbe. Kein Hykaro-Hinweis für den Kunden sichtbar. Die 19 €-Demo ist absichtlich Hykaro-gebrandet (Qualifizierungshürde).
Scaleway Paris Hosting (Postgres + R2-kompatibel). Keine Daten verlassen die EU, kein US-Unterauftragsverarbeiter in der Scan-Pipeline. DPA auf Anfrage erhältlich.
Unbegrenzt. Webhook, CI/CD, manuell: scannen Sie so viel wie Sie möchten während Ihres Tarif-Fensters (7 / 30 / 90 Tage). Serverseitiger Anti-Missbrauch: dieselbe Commit-SHA, die zweimal ausgelöst wird, gibt ein gecachtes Ergebnis zurück (0 Rechenaufwand, 0 Latenz). 30 Minuten Abkühlzeit zwischen manuellen Scans desselben Ziels. Hartes Limit von 60 Scans/h pro Organisation, im normalen Betrieb werden Sie das nie erreichen.
Nicht im MVP. Einmalige Tarife sind für Liefermomente konzipiert (Pre-Deployment-Audit, Pre-Übergabe-Audit), nicht für kontinuierliches Pipeline-Gating. 2h in die Integration eines Tools zu investieren, das nach Ihrem Zeitfenster inaktiv wird, lohnt sich nicht. Für diesen Anwendungsfall kommt der monatliche Studio-Tarif in Phase 3 (RFC-014). Im MVP verwenden Sie den GitHub-Webhook für automatischen Scan bei Push während Ihres Fensters, nützlich für Sprint-Iterationen, nicht für kontinuierliches Deploy-Gating.
Ja. In allen kostenpflichtigen Tarifen kostenlos enthalten (Essential, Standard, Premium). Nicht in der 19 €-Demo. Aktivieren Sie das 'accessibility'-Profil beim Scan, und Hykaro erstellt einen quantifizierten WCAG 2.1 AA / BITV 2.0-Score + EAA-Checkliste + priorisierten Korrekturplan, im gleichen PDF-Abschnitt wie die Sicherheit. Besonders nützlich für Agenturen, die an Kunden liefern, die dem EAA/BFSG unterliegen (in Kraft seit 28. Juni 2025).
Ja, aber opt-in, nicht standardmäßig. Das 'quality'-Profil (phpcs, eslint, tsc, depcheck, knip…) ist sehr lautstark und würde echte Sicherheits-Findings übertönen, wenn es standardmäßig aktiviert wäre. Sie aktivieren es bewusst, wenn Sie ein Code-Qualitätsaudit über die Sicherheit hinaus wünschen. Alle Tarife. Diese Findings sind auf 'niedrig' Schweregrad begrenzt, um kritische/hohe KPIs nicht zu verschmutzen.
Mehrere. Ein Projekt enthält mehrere Ziele: ein Git-Repository + eine Frontend-URL + ein separates Backend-Repository, zum Beispiel. Essential-Tarif = bis zu 3 Ziele, Standard = 5, Premium = 10. Ein Webhook, der ein beliebiges Ziel trifft, löst einen projektweiten Scan aus.
Das Projekt wird schreibgeschützt: Sie können das PDF erneut herunterladen (gemäß der Tarif-Aufbewahrung), aber keine weiteren Scans. Um zu verlängern, kaufen Sie erneut einen Tarif. Kein verstecktes Abonnement.
Vollständige Rückerstattung, wenn der Scan technisch fehlschlägt oder der Bericht leer ist. Keine Rückerstattung wegen Sinneswandel, sobald das PDF heruntergeladen wurde: das Lieferobjekt ist unwiderruflich. Konsistent mit einem Kundenlieferobjekt.
Next.js, React, Node, TypeScript, PHP, Symfony, Laravel, Python, Go. Automatische Erkennung beim Clone. Wenn Ihr Stack nicht aufgeführt ist, teile ich Ihnen bei der Demo mit, ob Hykaro geeignet ist. Ohne Überraschungen.
Die Hykaro CLI ist Open-Core, also ja. Das SaaS ist die verwaltete Option (Orchestrierung, PDF, KI-Triage). On-Premise ist im Enterprise-Tarif verfügbar (Phase 3). Kontaktieren Sie uns.
KI-Triage durch Claude erhält nur konsolidierte Findings: CWE, Datei:Zeile, maximal 5-Zeilen-Snippet. Keine Secrets, kein vollständiger Code, keine Kundendaten. Und Sie können KI-Triage ohne Mehrkosten deaktivieren.
Führen Sie Ihr erstes Audit für 19 € durch.
30 Minuten. Keine Konfiguration. Wird angerechnet, wenn Sie danach einen Tarif kaufen.