De beveiligingsaudit die je factureert aan je klant.
Geen intern dashboard voor je team. Een ondertekende PDF op jouw naam, bijgevoegd bij je factuur. Gebouwd voor Next.js / Node-freelancers en bureaus vóór lancering.
Signed by Hykaro Security · Independent Security Consultant
Verified
/ semgrep
/ trivy
/ gitleaks
/ npm audit
/ osv-scanner
/ bandit
/ checkov
/ hadolint
/ tflint
/ kube-bench
/ eslint-security
/ axe-core
/ pa11y
/ lighthouse
/ rgaa-checker
/ sonarjs
/ phpstan
/ psalm
/ mypy
/ ruff
/ clippy
/ gosec
/ semgrep
/ trivy
/ gitleaks
/ npm audit
/ osv-scanner
/ bandit
/ checkov
/ hadolint
/ tflint
/ kube-bench
/ eslint-security
/ axe-core
/ pa11y
/ lighthouse
/ rgaa-checker
/ sonarjs
/ phpstan
/ psalm
/ mypy
/ ruff
/ clippy
/ gosec
app.hykaro.security/scans/019e0d93
LIVE / 22 SCANNERS
Wat je krijgt na een scan: geconsolideerde bevindingen, ernst, getroffen bestanden, PDF klaar om te versturen.
Fonctionnalités
Gebouwd voor klantlevering. Niet voor je team.
Geen intern dashboard. Een ondertekende, gedateerde, white-label PDF op jouw naam, klaar om bij je factuur te voegen.
01
White-label PDF op jouw naam
Jouw logo, handtekening, huisstijl. Je overhandigt de PDF aan je klant, bijgevoegd bij je factuur. Geen Hykaro-vermelding zichtbaar voor de klant. Het is jouw audit, jouw merk.
02
22 relevante scanners
Automatische stack-detectie. Geen generieke ruis: SAST, secrets, deps, IaC, web, gericht op Next / Node / PHP / Python.
03
EU-hosting, GDPR-klaar
Scaleway Parijs. Je data verlaat nooit de EU. DPA beschikbaar op aanvraag.
04
AI-triage via Claude
Standaard-tier en hoger. Anthropic Claude markeert fout-positieven. Je leest alleen de echte bevindingen.
05
Audit naar PDF, zonder installatie
Repo koppelen → scannen → PDF. Geen configuratie, geen creditcard voor de €19-demo.
Docker --network=none
/GDPR-klaar
/TLS 1.3 · AES-256
/100% EU (Scaleway)
Coderen met een AI-assistent? Wij vangen wat het mist.
Claude Code, Cursor, v0, Lovable, Bolt: allemaal 10x sneller. Geen van hen leest een scanrapport. Hykaro herleest voor jou voordat je naar productie pusht.
€19 demo op je echte project. Volledige PDF geleverd binnen 30 minuten.
Hardcoded API-sleutels
OpenAI, Stripe, AWS-tokens achtergelaten in .env.example, fixtures of tests gegenereerd door de assistent.
Verzonnen dependencies
npm-pakketten uitgevonden door de LLM, versies die niet bestaan, verlaten deps met bekende CVE's.
Onveilige API-routes
Ongevalideerde deserialisatie, XSS via dangerouslySetInnerHTML, SQL-injectie via string-aaneenschakeling.
Dockerfile root + latest-tags
Container draait als root, :latest zonder pinning, secrets in build-argumenten. Standaard LLM-output.
Hoe het werkt
Van repo naar PDF, in één middag.
Drie stappen. Geen installatie, geen creditcard voor de demo. Jij koppelt, wij scannen, jij levert.
Stap 01
Koppel je GitHub-repo.
Installeer de read-only Hykaro GitHub-app, kies de repo om te auditeren. Geen lokale clone, geen configuratiebestand. Stack wordt automatisch gedetecteerd op de serverkloon.
GitHub · kies een repoOrg · acme
acme/apimain
acme/webshop
acme/landing-v2main
Rechtenread-only
Stap 02
22 scanners draaien parallel.
SAST, secrets, deps, IaC, web. Geïsoleerde Docker-container met --network=none. Anthropic Claude triages fout-positieven. Onder 30 minuten bij een standaardproject.
scan #4711Bezig
gitleaksok
semgrepok
trivyok
bearerBezig
lighthousein wachtrij
14 / 22 scanners~12 min
Stap 03
White-label PDF, klaar voor de klant.
Jouw logo, handtekening, kleuren. Voeg de PDF bij je factuur. De klant ziet Hykaro nooit. Minimaal 90 dagen bewaring, afhankelijk van tier.
ACME-AUDIT-2026-05.pdfPDF · 2.4 Mb
Auditrapport
ACME-AUDIT-2026-05
score
A−
0
critical
2
high
7
medium
Ondertekend doorAcme Studio
Gebouwd voor de stacks die je echt verkoopt.
Automatische detectie. Wij kiezen de 22 scanners die relevant zijn voor jouw project.
Next.js
React
Node
TypeScript
PHP
Symfony
Laravel
Python
relevante scanners
22
gemiddelde doorlooptijd
<30 min
hosting (Scaleway)
100% EU
Één project. Één prijs. Geen abonnement.
Prijs per project, nooit per seat. Start gratis op één project, betaal bij oplevering.
Demo
Evalueer op je echte project
24u venster · onbeperkte scans
1 doel (1 repo of 1 URL)
Hykaro-branded PDF (geen white-label)
Geen AI-triage
€19 verrekend met elke tier
demo · one-shot
Essentieel
Eenmalige audit, op jouw naam
7-daags venster · onbeperkte scans
Tot 3 doelen (repo's + URL's)
White-label PDF (logo, handtekening)
WCAG 2.1 AA / EN 301 549 (EAA)-toegankelijkheidsaudit inbegrepen (opt-in)
GitHub-webhook: automatische scan bij push
90 dagen downloadbewaring
per project · one-shot
Aanbevolen
Standaard
Meest gekozen
30-daags venster · onbeperkte scans
Tot 5 doelen
WCAG 2.1 AA / EN 301 549 (EAA)-toegankelijkheidsaudit inbegrepen (opt-in)
AI-triage via Claude (fout-positieven)
Vergelijking tussen runs (regressiedetectie)
GitHub-webhook + e-mailsupport <24u
per project · one-shot
Premium
Audit + begeleide remediëring
90-daags venster · onbeperkte scans
Tot 10 doelen (repo's + URL's)
Compliancerapport (GDPR + WCAG 2.1 AA / EN 301 549 (EAA))
Alle prijzen excl. btw. Volledige terugbetaling als een scan mislukt of het rapport leeg is. De scan uitvoeren is gratis: wij factureren het abonnement (continue CI-tracking) en het klantdocument (eenmalige PDF).
Vergelijking
Waarom Hykaro in plaats van de enterprise-tools?
Snyk, Aikido, Semgrep Pro zijn continue ontwikkelplatforms voor interne teams. Hykaro is het leveranciersinstrument: een ondertekende audit geleverd aan jouw klant.
Criterium
Hykaro
Eenmalig · leverancier
Snyk
SaaS-abonnement
Aikido
SaaS-abonnement
Semgrep Pro
SaaS-abonnement
Instapprijs
€19 eenmalig
$25/mo/dev
$290/mo
$1000/mo
Model
Per project
Seat-abonnement
Abonnement
Abonnement
Klantklare white-label PDF
WCAG + EAA audit inbegrepen
Installatie
30 min
1-2 dagen
1 dag
2-3 dagen
EU-hosting
Scaleway Paris
VS
VS/EU
VS
AI-triage
gedeeltelijk
Gebouwd voor pre-launch freelancers
Hykaro
Eenmalig · leverancier
Instapprijs
€19 eenmalig
Model
Per project
Klantklare white-label PDF
WCAG + EAA audit inbegrepen
Installatie
30 min
EU-hosting
Scaleway Paris
AI-triage
Gebouwd voor pre-launch freelancers
Snyk
SaaS-abonnement
Instapprijs
$25/mo/dev
Model
Seat-abonnement
Klantklare white-label PDF
WCAG + EAA audit inbegrepen
Installatie
1-2 dagen
EU-hosting
VS
AI-triage
Gebouwd voor pre-launch freelancers
Aikido
SaaS-abonnement
Instapprijs
$290/mo
Model
Abonnement
Klantklare white-label PDF
WCAG + EAA audit inbegrepen
Installatie
1 dag
EU-hosting
VS/EU
AI-triage
gedeeltelijk
Gebouwd voor pre-launch freelancers
Semgrep Pro
SaaS-abonnement
Instapprijs
$1000/mo
Model
Abonnement
Klantklare white-label PDF
WCAG + EAA audit inbegrepen
Installatie
2-3 dagen
EU-hosting
VS
AI-triage
Gebouwd voor pre-launch freelancers
→ Hykaro = klantleveerbare audit. Geen continu ontwikkelplatform.
Staat het er niet bij? Mail me: hello@basile.tigerbox.app
Totaal andere categorie. Snyk en Aikido verkopen een intern dashboard aan interne teams: abonnement per ontwikkelaar, rapport blijft aan jouw kant. Hykaro produceert een white-label PDF die je aan je klant overhandigt bij je factuur. Het is een leveranciersinstrument, geen intern teamtool.
Essentieel-tier en hoger: jouw logo, handtekening, kleur. Geen Hykaro-vermelding zichtbaar voor de klant. De €19-demo is bewust Hykaro-branded (kwalificatiedrempel).
Scaleway Parijs-hosting (Postgres + R2-compatibel). Geen data verlaat de EU, geen Amerikaanse subverwerker in de scanpijplijn. DPA beschikbaar op aanvraag.
Onbeperkt. Webhook, CI/CD, handmatig: scan zoveel je wilt tijdens je tier-venster (7 / 30 / 90 dagen). Server-side misbruikbeveiliging: dezelfde commit SHA twee keer getriggerd geeft gecached resultaat terug (0 compute, 0 latentie). 30 minuten cooldown tussen handmatige scans van hetzelfde doel. Harde limiet van 60 scans/u per organisatie, die je bij normaal gebruik nooit bereikt.
Niet in MVP. Eenmalige tiers zijn ontworpen voor leveringsmomenten (pre-deployment audit, pre-overdracht audit), niet voor continue pijplijnbeheer. 2 uur investeren in het integreren van een tool die inactief wordt na je venster is het niet waard. Voor dat gebruik komt de maandelijkse Studio-tier aan in fase 3 (RFC-014). In MVP gebruik je de GitHub-webhook voor automatische scans bij push tijdens je venster. Handig voor sprint-iteratie, niet voor continue deploy-gating.
Ja. Gratis inbegrepen in alle betaalde tiers (Essentieel, Standaard, Premium). Niet in de €19-demo. Schakel het 'accessibility'-profiel in bij de scan en Hykaro genereert een gekwantificeerde WCAG 2.1 AA-score + EN 301 549 (EAA)-checklist + geprioritiseerd correctieplan, in hetzelfde PDF-gedeelte als beveiliging. Bijzonder nuttig voor Nederlandse bureaus die leveren aan klanten die onder de EAA vallen (van kracht per 28 juni 2025).
Ja, maar opt-in, niet standaard. Het 'quality'-profiel (phpcs, eslint, tsc, depcheck, knip…) is erg luidruchtig en zou echte beveiligingsbevindingen overschreeuwen als het standaard ingeschakeld was. Je schakelt het bewust in wanneer je een codekwaliteitsaudit wilt naast beveiliging. Alle tiers. Deze bevindingen zijn begrensd op 'laag' ernst om de kritieke/hoge KPI's niet te vervuilen.
Meerdere. Een project bevat meerdere doelen: een Git-repo + een frontend-URL + een aparte backend-repo, bijvoorbeeld. Essentieel-tier = tot 3 doelen, Standaard = 5, Premium = 10. Een webhook die een doel raakt triggert een projectbrede scan.
Het project wordt alleen-lezen: je kunt de PDF opnieuw downloaden (conform de tier-bewaring) maar er zijn geen nieuwe scans meer mogelijk. Om te verlengen, koop je opnieuw een tier. Geen verborgen abonnement.
Volledige terugbetaling als de scan technisch mislukt of het rapport leeg is. Geen terugbetaling wegens 'van gedachten veranderd' nadat de PDF is gedownload: het document is onomkeerbaar. Consistent met een klantdocument.
Next.js, React, Node, TypeScript, PHP, Symfony, Laravel, Python, Go. Automatische detectie bij clone. Als jouw stack er niet bij staat, vertel ik je tijdens de demo of Hykaro geschikt is, zonder verrassingen achteraf.
De Hykaro CLI is open-core, dus ja. De SaaS is de beheerde optie (orkestratie, PDF, AI-triage). On-premise is beschikbaar op de Enterprise-tier (fase 3). Neem contact op.
AI-triage via Claude ontvangt alleen geconsolideerde bevindingen (CWE, file:line, maximaal 5 regels code). Geen secrets, geen volledige code, geen klantdata. En je kunt AI-triage uitschakelen zonder extra kosten.
Voer je eerste audit uit voor €19.
30 minuten. Geen installatie. Verrekend als je daarna een tier koopt.