Gebaut für AppSec-Teams · Auf Ihr Audit gemappt

Die Developer-Security-Plattformfür dasKI-Zeitalter

Secure Coding und Compliance-Nachweise für das KI-Zeitalter — OWASP LLM, Agentic AI und Secure AI-Assisted Development gemappt auf EU AI Act, ISO 42001 und NIST AI RMF, ergänzt um Web-/API-/Mobile-Top-10, angebunden an PCI DSS und ISO 27001.

0
Schwachstellenklassen
0
Code-Reviews
0
Angriffsszenarien
0
Engineering-Stacks
PCI DSS 4.0·ISO 27001·OWASP Top 10·EU CRA·EU AI Act·ISO 42001·NIST AI RMF
Nachweis exportiert
PCI 6.2.4 · CWE-89 · signiertes PDF
users.controller.tsPhase 1 — finden
12async getUser(req) {
13  const q = `SELECT * FROM users WHERE id = ${req.params.id}`;
14  return db.query(q);
15}
scannen · gefunden A03:2021 — InjectionCWE-89OWASP A03:2021PCI 6.5.1ISO 27001 A.8.28EU AI Act Art. 15
So funktioniert es

Zwei Phasen pro Challenge.

Phase 1: Identifizieren Sie den verwundbaren Block in Produktionscode. Phase 2: Wählen Sie die richtige Behebung aus vier plausiblen Kandidaten – keine „eine offensichtliche Antwort".

Phase 1 – Finden
Phase 1 – den verwundbaren Block in Produktionscode finden

1500+ Code-Reviews über 310+ Schwachstellenklassen hinweg – jeder ein produktionsnaher Ausschnitt in der Sprache, die Ihr Team ausliefert. Fünf Kandidatenblöcke, eine echte Schwachstelle.

Phase 2 – Beheben
Phase 2 – die richtige Behebung aus vier Kandidaten wählen

Intelligente Distraktoren – jede falsche Behebung ist ein realer AppSec-Fehler (Escape-Only, Regex-Validierung, ORM-ohne-Binding) mit der Erklärung, warum sie scheitert. Entwickler lernen den Unterschied zwischen einer Behebung und einer Abschwächung.

Geführte Angriffs-Walkthroughs

Von Aufklärung über Exploit bis zur Behebung – Schritt für Schritt.

114 Szenarien. 1537 interaktive Schritte. Jedes setzt den Engineer in einen simulierten Browser, ein Terminal und einen Intercepting-Proxy – er führt Aufklärung durch, landet den Exploit und schließt die Lücke im Code. Eine Angriffsklasse, eine kurze, fokussierte Sitzung.

LoveNest-Konto-Enumeration-Szenario – 10 Schritte, 14 Minuten
114
Szenarien
1537
interaktive Schritte
~17m
Ø Walkthrough
In Ihrem Stack geschrieben

Kein generischer Pseudocode. Ihre Idiome.

Jeder Engineer wählt beim ersten Besuch seinen Stack. Jede Challenge lädt anschließend in der Sprache und im Framework, die er tatsächlich ausliefert – Python-f-Strings, Gos fmt.Sprintf, C#-String-Interpolation, Javas PreparedStatement – kein abgespeckter Pseudocode, der zu nichts in Produktion passt.

Backend
  • JavaScript
  • TypeScript
  • C#
  • Java
  • Python
  • Go
  • PHP
Frontend
  • React TS · JS
  • Vue TS · JS
  • Angular TS · JS
Mobile
  • Swift
  • Kotlin
15 Sprach- und Framework-Ziele über Backend, Frontend und Mobile hinweg – jede Challenge in idiomatischem Code für den gewählten Stack gerendert.
Enterprise-Plattform

Gebaut für die Art, wie Enterprise-Sicherheitsteams bereits arbeiten.

SAML 2.0 mit JIT-Provisionierung, SCIM 2.0 Lifecycle-Sync, SCORM 1.2/2004 für jedes LMS und eine mandantenfähige Admin-Ebene mit rollenbasierter Delegation. Nichts davon nachträglich aufgesetzt – alles ab Tag 1 produktiv.

SAML 2.0 / OIDC
SSO mit JIT-Provisionierung
Okta, Azure AD, Google Workspace, OneLogin oder jeder SAML-2.0-/OIDC-IdP. JIT-Benutzererstellung bei der ersten Anmeldung – kein manueller Onboarding-Schritt.
SCIM 2.0
Benutzer-Lifecycle-Sync
Automatische Provisionierung und Deprovisionierung von Benutzern aus Ihrem IdP – keine verwaisten Konten, wenn jemand das Unternehmen verlässt.
SCORM 1.2 / 2004
Läuft in Ihrem LMS
Startet aus Moodle, Cornerstone, SAP SuccessFactors, Docebo oder jedem SCORM-kompatiblen LMS. Abschluss- und Lesezeichen-Sync laufen über die Standard-Runtime zurück.
PLATTFORM → UNTERNEHMEN → ORGANISATION → TEAM
Mehrstufige Mandantenhierarchie
Isolieren Sie Daten und Admin-Scope über Unternehmen, Geschäftseinheiten und Squads hinweg – mit rollenbasierter Delegation pro Ebene.
UNVERÄNDERLICHER VERLAUF
Audit-Log
Jede Anmeldung, jede Zuweisung, jeder Abschluss und jede Admin-Aktion wird mit Akteur, Rolle, IP und Metadaten erfasst – abfragbar und exportierbar für QSA-, SOC-2- und ISO-Audits.
AUFGABEN UND ANALYTICS
Fristen, Teams, Kompetenzlücken
Weisen Sie nach Thema, Framework oder Angriffsszenario zu – an einen Benutzer, ein Team oder die ganze Organisation. Verfolgen Sie Abschluss, Punktzahlen und Lücken pro Team aus einem Admin-Dashboard.
Compliance-Mapping

Jede Aufgabe – gemappt auf das Framework, gegen das Sie berichten.

PCI DSS 4.0.1
§6.2.2 Schulung für sichere Codierung
Nachweis pro Anforderung: §6.2.2 Entwicklerschulung gemappt auf OWASP-Kategorien und CWE-Cluster – bereit für die QSA-Prüfung ohne Tabellenkalkulations-Archäologie.
ISO 27001:2022
Anhang A.8.28 Sichere Codierung
Nachweis zur Kontrolle A.8.28 sichere Codierung und zur A.6.3-Awareness-Schulung, verknüpft mit dem Abschluss pro Team und der CWE-Abdeckung pro Thema.
EU CRA Anhang I
Anforderungen an Secure-by-Design
Wesentliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen – Abdeckung pro Team gegen Anhang I (1) und (2) nachverfolgt.
OWASP TOP 10
Web · API · Mobile · Client · LLM · Agentic · AI Dev
Jede Challenge ist auf OWASP-Kategorien in 9 Frameworks getaggt — Web, API, Mobile, Client-Side, Cloud-Native, CI/CD, LLM, Agentic AI, AI-Dev-Tools — mit der zugrundeliegenden CWE für jede.
EU AI ACT
Artikel 9-15
Anforderungen für hochriskante KI-Systeme — Nachweise pro Entwickler für Artikel 15 Cybersicherheit, Artikel 12 Logs und Artikel 14 menschliche Aufsicht.
ISO/IEC 42001:2023
Annex-A-KI-Kontrollen
KI-Managementsystem-Nachweise — A.6.2.6 Impact-Assessment, A.8.2 V&V, A.8.4 Monitoring auf Entwicklerschulung gemappt.
NIST AI RMF 1.0
Govern · Map · Measure · Manage
Föderale KI-Risikobasis — MEASURE-2.7 Sicherheit, MAP-1.1 Systemkontext, MANAGE-2.4 Risikobehandlung pro Entwickler.

Jede Challenge ist vorab auf das Framework getaggt, das sie erfüllt – damit die Audit-Zeit kein Feuerwehreinsatz, sondern eine Abfrage ist.

Sehen Sie, wie es zu
Ihrem Audit-Takt passt.

30 Minuten mit unserem Team. Wir gehen das Admin-Dashboard durch, die PCI-/ISO-/OWASP-Mappings sowie die Aktivierung von SSO und SCIM für Ihren IdP.