Gebaut für AppSec-Teams · Auf Ihr Audit gemappt

Schulung für sichere Codierung,
die Ihre Engineers nicht überspringen,
mit eingebautem Audit-Nachweis.

Entwicklerteams prüfen produktionsnahen Code in ihrem eigenen Stack, finden den Fehler, liefern die Behebung aus – und der Compliance-Nachweis entsteht von selbst. PCI DSS 4.0, ISO 27001 und OWASP auf jede Aufgabe gemappt.

186
Schwachstellenklassen
930
Code-Reviews
67
Angriffsszenarien
15
Engineering-Stacks
PCI DSS 4.0·ISO 27001·OWASP Top 10·EU CRA
So funktioniert es
So funktioniert es

Zwei Phasen pro Challenge.

Phase 1: Identifizieren Sie den verwundbaren Block in Produktionscode. Phase 2: Wählen Sie die richtige Behebung aus vier plausiblen Kandidaten – keine „eine offensichtliche Antwort".

Phase 1 – Finden
Phase 1 – den verwundbaren Block in Produktionscode finden

930 Code-Reviews über 186 Schwachstellenklassen hinweg – jeder ein produktionsnaher Ausschnitt in der Sprache, die Ihr Team ausliefert. Fünf Kandidatenblöcke, eine echte Schwachstelle.

Phase 2 – Beheben
Phase 2 – die richtige Behebung aus vier Kandidaten wählen

Intelligente Distraktoren – jede falsche Behebung ist ein realer AppSec-Fehler (Escape-Only, Regex-Validierung, ORM-ohne-Binding) mit der Erklärung, warum sie scheitert. Entwickler lernen den Unterschied zwischen einer Behebung und einer Abschwächung.

Geführte Angriffs-Walkthroughs

Von Aufklärung über Exploit bis zur Behebung – Schritt für Schritt.

67 Szenarien. 973 interaktive Schritte. Jedes setzt den Engineer in einen simulierten Browser, ein Terminal und einen Intercepting-Proxy – er führt Aufklärung durch, landet den Exploit und schließt die Lücke im Code. Eine Angriffsklasse, eine kurze, fokussierte Sitzung.

LoveNest-Konto-Enumeration-Szenario – 10 Schritte, 14 Minuten
67
Szenarien
973
interaktive Schritte
~14m
Ø Walkthrough
In Ihrem Stack geschrieben

Kein generischer Pseudocode. Ihre Idiome.

Jeder Engineer wählt beim ersten Besuch seinen Stack. Jede Challenge lädt anschließend in der Sprache und im Framework, die er tatsächlich ausliefert – Python-f-Strings, Gos fmt.Sprintf, C#-String-Interpolation, Javas PreparedStatement – kein abgespeckter Pseudocode, der zu nichts in Produktion passt.

Backend
  • JavaScript
  • TypeScript
  • C#
  • Java
  • Python
  • Go
  • PHP
Frontend
  • React TS · JS
  • Vue TS · JS
  • Angular TS · JS
Mobile
  • Swift
  • Kotlin
15 Sprach- und Framework-Ziele über Backend, Frontend und Mobile hinweg – jede Challenge in idiomatischem Code für den gewählten Stack gerendert.
Enterprise-Plattform

Gebaut für die Art, wie Enterprise-Sicherheitsteams bereits arbeiten.

SAML 2.0 mit JIT-Provisionierung, SCIM 2.0 Lifecycle-Sync, SCORM 1.2/2004 für jedes LMS und eine mandantenfähige Admin-Ebene mit rollenbasierter Delegation. Nichts davon nachträglich aufgesetzt – alles ab Tag 1 produktiv.

SAML 2.0 / OIDC
SSO mit JIT-Provisionierung
Okta, Azure AD, Google Workspace, OneLogin oder jeder SAML-2.0-/OIDC-IdP. JIT-Benutzererstellung bei der ersten Anmeldung – kein manueller Onboarding-Schritt.
SCIM 2.0
Benutzer-Lifecycle-Sync
Automatische Provisionierung und Deprovisionierung von Benutzern aus Ihrem IdP – keine verwaisten Konten, wenn jemand das Unternehmen verlässt.
SCORM 1.2 / 2004
Läuft in Ihrem LMS
Startet aus Moodle, Cornerstone, SAP SuccessFactors, Docebo oder jedem SCORM-kompatiblen LMS. Abschluss- und Lesezeichen-Sync laufen über die Standard-Runtime zurück.
PLATTFORM → UNTERNEHMEN → ORGANISATION → TEAM
Mehrstufige Mandantenhierarchie
Isolieren Sie Daten und Admin-Scope über Unternehmen, Geschäftseinheiten und Squads hinweg – mit rollenbasierter Delegation pro Ebene.
UNVERÄNDERLICHER VERLAUF
Audit-Log
Jede Anmeldung, jede Zuweisung, jeder Abschluss und jede Admin-Aktion wird mit Akteur, Rolle, IP und Metadaten erfasst – abfragbar und exportierbar für QSA-, SOC-2- und ISO-Audits.
AUFGABEN UND ANALYTICS
Fristen, Teams, Kompetenzlücken
Weisen Sie nach Thema, Framework oder Angriffsszenario zu – an einen Benutzer, ein Team oder die ganze Organisation. Verfolgen Sie Abschluss, Punktzahlen und Lücken pro Team aus einem Admin-Dashboard.
Compliance-Mapping

Jede Aufgabe – gemappt auf das Framework, gegen das Sie berichten.

PCI DSS 4.0.1
§6.2.2 Schulung für sichere Codierung
Nachweis pro Anforderung: §6.2.2 Entwicklerschulung gemappt auf OWASP-Kategorien und CWE-Cluster – bereit für die QSA-Prüfung ohne Tabellenkalkulations-Archäologie.
ISO 27001:2022
Anhang A.8.28 Sichere Codierung
Nachweis zur Kontrolle A.8.28 sichere Codierung und zur A.6.3-Awareness-Schulung, verknüpft mit dem Abschluss pro Team und der CWE-Abdeckung pro Thema.
EU CRA Anhang I
Anforderungen an Secure-by-Design
Wesentliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen – Abdeckung pro Team gegen Anhang I (1) und (2) nachverfolgt.
OWASP TOP 10
Web · API · Mobile
Jede Challenge ist auf OWASP-Top-10-Kategorien in Web (2021), API (2023) und Mobile (2024) getaggt – mit der zugrundeliegenden CWE für jede.

Jede Challenge ist vorab auf das Framework getaggt, das sie erfüllt – damit die Audit-Zeit kein Feuerwehreinsatz, sondern eine Abfrage ist.

Sehen Sie, wie es zu
Ihrem Audit-Takt passt.

30 Minuten mit unserem Team. Wir gehen das Admin-Dashboard durch, die PCI-/ISO-/OWASP-Mappings sowie die Aktivierung von SSO und SCIM für Ihren IdP.

Plattform erkunden