Häufig gestellte Fragen

Hacktron ist eine KI-gestützte Plattform für Security-Code-Reviews. Ihre KI-Agenten prüfen Ihre Repositories auf ausnutzbare Schwachstellen und zeigen sie als Pull-Request-Kommentare und Dashboard-Findings an. Es arbeitet in zwei Modi: PR-Reviews, die bei jedem Pull oder Merge Request laufen, und Whitebox-Scans (auch Pentests genannt), die den gesamten Quellcode eines Repositorys analysieren.

Unter der Haube indexiert Hacktron Ihre Codebasis, baut Call-Graphen auf und erstellt ein Threat Model – ähnlich wie ein erfahrener menschlicher Security Engineer ein mentales Modell Ihres Systems aufbaut.

Hacktron verhält sich wie ein Security Engineer und wird mit jedem Review schärfer. Triage-Feedback zu Findings – etwa das Markieren von False Positives oder das Bestätigen echter Probleme – sowie Projektregeln wie eine .hacktron/rules.md-Datei bringen ihm Ihre Angriffsfläche bei. So ist jedes Review präziser auf Ihre Codebasis zugeschnitten als das vorherige.

Klassisches SAST matcht bekannte Regelmuster. Die Agenten von Hacktron bewerten die tatsächliche Ausnutzbarkeit – einschließlich Autorisierungs- und Zugriffskontrollfehlern, die sich nicht auf eine einzelne Regel abbilden lassen – und zeigen jedes Finding mit einem Datenfluss-Trace (Taint-Trace), damit Sie sehen, warum es ausnutzbar ist.

Ein PR-Review läuft automatisch bei jedem Pull oder Merge Request und konzentriert sich auf die Änderung. Ein Whitebox-Scan (auch Pentest genannt) läuft über den gesamten Quellcode eines Repositorys und wird über das Dashboard gestartet.

Bei jedem PR postet Hacktron einen "Hacktron Security Check" und ein einzelnes Review mit Inline-Kommentaren auf Zeilenebene am betroffenen Code. Jedes Finding enthält eine "Fix with AI"-Option (den Fix in Cursor, Claude oder Codex öffnen) sowie einen kopierbaren Remediation-Prompt. Mit dem Kommentar @hacktron review können Sie ein Review erneut starten und Findings direkt im Thread triagieren.

Hacktron liefert Ihnen Ein-Klick-Fix-Prompts und Deep Links, statt selbst Änderungen zu committen. Es verfolgt über PRs hinweg, ob Findings behoben werden, und schließt Probleme automatisch, sobald sie gefixt sind – so sammeln sich keine veralteten Findings in Ihrem Backlog an.

Ja. Hacktron erstellt Executive-Berichte für Stakeholder und technische Berichte für Engineers. Findings lassen sich als CSV oder SARIF exportieren, um sie in Ihre eigenen Tools und Pipelines einzuspeisen.

Hacktron konzentriert sich auf ausnutzbare Code-Schwachstellen wie Injection (zum Beispiel SQL-Injection), Cross-Site-Scripting sowie Autorisierungs- und Zugriffskontrollfehler und zeigt jedes Finding mit einem Datenfluss-Trace. Es hat bereits kritische 0-Days in Next.js, oauth2-proxy und Metabase aufgedeckt.

Ja. Hacktron prüft die Risiken, die mit KI-Features und KI-generiertem Code einhergehen – darunter Prompt Injection, unsicherer Umgang mit LLM-Ein- und -Ausgaben sowie unsichere Integrationen von KI-Agenten oder Tool-Use.

Der KI-Reviewer von Hacktron liest Code in jeder Sprache und ist daher nicht auf eine feste Liste beschränkt. Für die Sprachen, auf die sich Teams am meisten verlassen, kommt eine tiefere, sprachspezifische Analyse hinzu. Falls Ihr Stack unten nicht aufgeführt ist, buchen Sie einen Termin und wir bestätigen die Abdeckung für Ihren konkreten Bedarf.

Hacktron reviewt Pull und Merge Requests auf GitHub (einschließlich GitHub Enterprise) und GitLab (einschließlich self-hosted). Bitbucket-Repositories können für Scans und das Weiterleiten von Findings in Issues angebunden werden.

Ja. Verbinden Sie GitHub Enterprise oder eine self-hosted GitLab-Instanz über ein Personal Access Token.

Hacktron sendet Echtzeit-Alerts an Slack und erstellt Jira- und Linear-Tickets, sodass die Remediation in den Workflow passt, den Ihr Team bereits nutzt. In Slack können Sie Findings außerdem direkt im Thread triagieren.

Ja. Hacktron bietet eine öffentliche REST API mit organisationsweiten API-Keys zum Starten von Scans, zum Abrufen und Exportieren von Findings sowie zum Verwalten von Repositories.

Ja. Fügen Sie Ihrem Repository eine .hacktron/rules.md-Datei hinzu oder laden Sie Markdown-Kontextdokumente hoch und verknüpfen Sie sie mit Repos, um Hacktron über Ihren Stack, Ihre Konventionen und die wichtigsten Review-Schwerpunkte zu informieren.

Ja. Hacktron bietet eine On-Premises-Edition, die vollständig in Ihrer eigenen Infrastruktur läuft – mit lokalen Konten.

Für Cloud-Scans klont Hacktron Ihr Repository in eine isolierte Scan-Umgebung, analysiert es dort und speichert die resultierenden Findings (einschließlich der relevanten Code-Snippets) in Ihrem Hacktron-Konto. Wenn Ihr Code Ihre eigene Umgebung nicht verlassen darf, nutzen Sie die On-Premises-Edition.

Melden Sie sich mit Google, GitHub oder E-Mail und Passwort an. Die On-Premises-Edition verwendet lokale Konten.

Ja. Hacktron ist mandantenfähig – mit Organisationen, Mitglieder-Einladungen und rollenbasierter Zugriffskontrolle für Owner, Admins und Mitglieder.

Ja. Hacktron hat SOC 2 Type 1 erreicht. Zur Ankündigung.

Ja. Sie können Hacktron 14 Tage kostenlos testen.

Hacktron wird pro Entwickler-Seat abgerechnet; Pentests werden aus einem separaten Pentest-Guthaben bezogen. Für aktuelle Preise starten Sie die kostenlose Testphase oder buchen eine Demo.

Ja. Über das Open-Source-Programm von Hacktron erhalten Maintainer berechtigter öffentlicher Repositories kostenlose PR-Security-Reviews. Bewerben Sie sich auf unserer Open-Source-Seite.