EU AST Comparison Finale 2026: Checkmarx vs Sonatype vs Coverity vs Burp Suite
Post #1247 — Abschluss der sota.io EU Application Security Testing Serie (5/5)
Die EU-AST-Serie ist abgeschlossen. In vier Einzelanalysen haben wir Checkmarx (US-PE-Mehrheit Hellman & Friedman + THL, CLOUD Act 19/25), Sonatype Nexus/IQ Server (Vista Equity Partners Delaware, CLOUD Act 17/25), Synopsys Coverity/Black Duck Software (Clearlake Capital + Francisco Partners US-PE-Buyout 2024, CLOUD Act 18/25) und PortSwigger Burp Suite (UK private company, IPA 2016 + US-UK CLOUD Act bilateral agreement, CLOUD Act 19/25) untersucht.
Dieser Finale-Post fasst zusammen: Welche Plattform weist das höchste GDPR-Risiko auf, was unterscheidet die vier Anbieter strukturell, und wann sind EU-native AST-Lösungen wie Semgrep, SonarQube Community Edition, OWASP ZAP und Dependency-Track die bessere Wahl?
Warum AST für EU-Compliance besonders kritisch ist
Application Security Testing Tools klingen nach rein technischen Werkzeugen — Source Code scannen, Abhängigkeiten prüfen, Webanwendungen auf Schwachstellen testen. Aus DSGVO- und Souveränitätssicht sind AST-Tools jedoch eine der riskantesten Kategorien von Drittanbieter-Software überhaupt — aus drei strukturellen Gründen:
SAST-Tools lesen euren vollständigen Quellcode. Static Analysis Tools wie Checkmarx SAST oder Synopsys Coverity müssen jede Zeile Source Code analysieren, um Schwachstellen zu finden. Das bedeutet: Ein US-SAST-Anbieter unter CLOUD-Act-Jurisdiktion hat potenziell Zugang zu eurem gesamten geistigen Eigentum — Algorithmen, Geschäftsgeheimnisse, eingebettete Konfiguration und Build-Artefakte. Die US-Behörde, die einen CLOUD Act Beschluss gegen den Anbieter erwirkt, erhält damit implizit Zugang zu eurer kompletten IP-Basis.
SCA-Tools kennen eure gesamte Dependency-Infrastruktur. Software Composition Analysis Werkzeuge wie Sonatype Nexus IQ Server analysieren nicht nur Software-Bibliotheken — sie loggen, welche Pakete in welcher Version von welchem Team zu welchem Zeitpunkt heruntergeladen werden. Bei Sonatype kommt hinzu: Das Unternehmen betreibt Maven Central, das größte Java-Repository der Welt. Wer Maven Central nutzt, sendet Download-Metadaten an einen US-PE-eigenen Betreiber, unabhängig von der verwendeten IDE oder CI/CD-Plattform.
DAST-Tools erstellen Schwachstellen-Karten eurer laufenden Systeme. Dynamic Application Security Testing Werkzeuge wie PortSwigger Burp Suite Enterprise scannen aktiv laufende Anwendungen und speichern die Ergebnisse — Vulnerability Maps eurer Produktionssysteme, inklusive offener Endpoints, ungepatchter CVEs und Sicherheitslücken-Details. Für einen DAST-Anbieter unter Fremdgerichtbarkeit bedeutet das: Die Schwachstellen eurer EU-Infrastruktur liegen in einem System, auf das Behörden potentiell zugreifen können.
Die rechtliche Grundlage: CLOUD Act 18 U.S.C. § 2713 verpflichtet US-Anbieter, Daten herauszugeben, wenn eine US-Behörde einen gültigen Beschluss vorlegt — unabhängig davon, wo die Daten physisch gespeichert sind. Für PortSwigger gilt zusätzlich: Das UK Investigatory Powers Act 2016 (§252 National Security Notices, Bulk Collection Powers) plus der US-UK CLOUD Act bilateral agreement (in Kraft seit August 2022) ergibt eine Doppelzuständigkeit, die keinem anderen Anbieter der Serie entspricht.
CLOUD Act Matrix: Alle vier im direkten Vergleich
Die CLOUD Act Matrix bewertet fünf Dimensionen je 0–5 Punkte. Höhere Punkte bedeuten höheres GDPR-Risiko:
| Anbieter | D1: Inkorp. | D2: Gov-Ties | D3: Datentyp | D4: Geo | D5: Cert | Gesamt |
|---|---|---|---|---|---|---|
| Checkmarx | 5 | 2 | 5 | 5 | 2 | 19/25 |
| PortSwigger | 4 | 5 | 4 | 3 | 3 | 19/25 |
| Coverity/Black Duck | 5 | 3 | 5 | 3 | 2 | 18/25 |
| Sonatype Nexus | 5 | 2 | 4 | 3 | 3 | 17/25 |
| EU-nativer Stack | 0 | 0 | 0 | 0 | 0 | 0/25 |
D1 — Inkorporierung und Eigentümerstruktur:
- Checkmarx (5/5): Delaware C-Corp + Hellman & Friedman (San Francisco) + THL (Boston) + Insight Partners (New York) = vollständige US-PE-Mehrheit. Mend.io-Merger September 2024 vertieft US-PE-Exposure.
- Sonatype (5/5): Delaware C-Corp + Vista Equity Partners (Austin TX) als Mehrheitseigentümer seit 2019.
- Coverity/Black Duck (5/5): Black Duck Software Inc. Delaware C-Corp + Clearlake Capital (Santa Monica CA) + Francisco Partners (San Francisco CA) = ~2,1 Mrd. USD Buyout Februar 2024 von Synopsys.
- PortSwigger (4/5): UK private company (Ltd.), kein US-PE-Overlay, aber UK-Jurisdiktion unter IPA 2016.
D2 — Government-Beziehungen und Intelligence-Exposure:
- PortSwigger (5/5): Höchster D2-Score der gesamten AST-Serie. UK IPA 2016 §252 National Security Notices (non-disclosure obligations) + US-UK CLOUD Act bilateral agreement (aktiv August 2022) + Five Eyes UKUSA Agreement (GCHQ → NSA Datenaustausch). Dreifache Intelligence-Jurisdiktion.
- Coverity/Black Duck (3/5): Synopsys Software Integrity Group hatte aktive DoD/NASA-Nutzung. Unter PE-Käufern unklar, ob Regierungsverträge weitergeführt werden. Keine FedRAMP-Zertifizierung für Black Duck SaaS nach Rebrand.
- Checkmarx (2/5): Keine öffentlich dokumentierten FedRAMP-Aktivitäten oder Government-Cloud-Verträge.
- Sonatype (2/5): Maven Central-Infrastruktur ist US-PE-kontrolliert, kein direktes Government-Programm dokumentiert.
D3 — Sensitivität der verarbeiteten Daten:
- Checkmarx (5/5): SAST analysiert vollständigen Quellcode einschließlich Algorithmen, hardcoded Secrets, Kommentare und Test-PII. Höchstmögliche Daten-Sensitivität.
- Coverity/Black Duck (5/5): Coverity = vollständiger SAST-Quellcode-Zugang. Black Duck SCA = Dependency-Hashes + SBOM-Inhalte mit vollständiger Architekturdarstellung.
- PortSwigger (4/5): DAST = HTTP-Traffic-Inhalte + Authentication-Tokens + Vulnerability-Maps laufender Systeme. Kein direkter Quellcode-Zugang, aber vollständige Laufzeit-Schwachstellen-Topographie.
- Sonatype (4/5): IQ Server = Dependency-Manifeste + SBOM-Daten. Nexus Repository = vollständige Artefakt-Caches inkl. interne Pakete. Maven Central = Download-Metadaten ohne direkten Code-Zugang.
D4 — Geografische Datenspeicherung:
- Checkmarx (5/5): Primäre Cloud-Infrastruktur in US-Rechenzentren. EU-Hosting-Option existiert, aber Verarbeitungsinfrastruktur bleibt unter US-Unternehmens-Jurisdiktion.
- Coverity/Black Duck (3/5): AWS EU-Regions verfügbar nach Rebrand, aber US-PE-Holding-Jurisdiktion bleibt dominant.
- Sonatype (3/5): AWS EU-Deployment für Nexus Lifecycle verfügbar. Maven Central läuft auf US-CDN-Infrastruktur.
- PortSwigger (3/5): UK-Hosting primär + optionale AWS EU-Regions für Enterprise.
D5 — Compliance-Zertifizierungen:
- Sonatype (3/5): ISO 27001, SOC 2 Typ II — solides Grundniveau.
- PortSwigger (3/5): ISO 27001. Kein FedRAMP, kein DoD-Programm.
- Checkmarx (2/5): SOC 2 Typ II. Keine FedRAMP-Zertifizierung für die produktive SaaS-Plattform.
- Coverity/Black Duck (2/5): Unter Synopsys gab es ISO 27001. Post-Rebrand-Zertifizierungsstatus für Black Duck Software Inc. unklar (PE-Transition 2024).
Gesamtergebnis: CLOUD Act Matrix EU-AST-Serie
Checkmarx und PortSwigger teilen sich den höchsten CLOUD Act Score (19/25), aber aus strukturell völlig verschiedenen Gründen:
Checkmarx (19/25) ist das höchste SAST-Risiko durch die Kombination: US-PE-Vollkontrolle + vollständiger Quellcode-Zugang + US-primäre Cloud-Infrastruktur. Wer Checkmarx Cloud nutzt, gibt im Prinzip seine gesamte IP-Basis in ein US-PE-kontrolliertes System.
PortSwigger (19/25) ist das einzige DAST-Tool der Serie und weist eine einzigartige Dreifach-Jurisdiktion auf: UK IPA + US-UK bilateral + Five Eyes. Der DAST Scanning Paradox ist hier besonders kritisch: Burp Suite Enterprise speichert Vulnerability Maps eurer Produktionssysteme bei einem Anbieter, auf den britische (GCHQ) und US-amerikanische (NSA/FBI) Behörden potenziell zugreifen können.
Synopsys Coverity/Black Duck (18/25) illustriert den SAST-Rebrand-Trick: Name wechselt (Synopsys SIG → Black Duck Software), CLOUD-Act-Verpflichtung bleibt. Die Kombination aus SAST-Quellcode-Zugang und ungeklärtem Post-Rebrand-Zertifizierungsstatus erzeugt mittleres Risiko.
Sonatype (17/25) erzielt den niedrigsten Score, bleibt aber problematisch durch die Maven Central-Infrastruktur: 15+ Millionen Entwickler weltweit laden täglich Pakete via Maven Central herunter, dessen Download-Metadaten bei einem US-PE-Betreiber landen — unabhängig von ihrer eigenen Sonatype-Produktnutzung.
CRA-SBOM-Paradox: Die strukturelle Falle
Der Cyber Resilience Act (CRA) ist in Kraft und verlangt von EU-Herstellern digitaler Produkte in Artikel 13 die Erstellung und Pflege von Software Bill of Materials (SBOMs). SBOMs listen alle Software-Komponenten, Abhängigkeiten und Versionen eines Produkts auf.
Das Paradox: Wenn EU-Unternehmen ihren SBOM-Prozess mit einem US-SCA-Tool wie Sonatype Nexus IQ Server, Synopsys Black Duck oder Checkmarx SCA aufbauen, dann:
- Erzwingt CRA SBOM-Erstellung als Compliance-Pflicht
- Liegt der SBOM in einem US-PE-kontrollierten System
- Enthält der SBOM die vollständige Architekturdarstellung (alle Abhängigkeiten, Versionen, Lizenzen)
- Kann ein CLOUD Act Beschluss den SBOM-Inhalt erzwingen
Das Compliance-Werkzeug, das CRA-Konformität beweisen soll, wird selbst zum CLOUD-Act-Risikopunkt. EU-Unternehmen, die ihren CRA-SBOM-Prozess mit EU-nativen Tools aufbauen (OWASP CycloneDX + Dependency-Track oder cdxgen), umgehen diese Falle vollständig.
SAST-Quellcode-Dilemma: Was SAST-Anbieter wirklich sehen
SAST-Tools wie Checkmarx und Coverity müssen per Design auf den vollständigen Quellcode zugreifen. Was das bedeutet:
- Algorithmen und Geschäftslogik: Der Code, der euer Produkt differenziert, liegt vollständig in der SAST-Plattform
- Hardcoded Secrets: Auch nach Rotation können historische Git-Commits im SAST-System vorliegen
- Test-PII: Unit-Tests enthalten oft reale oder synthetische Personendaten als Fixtures
- Interne Kommentare: TODO-Kommentare, Architektur-Anmerkungen, Team-spezifische Konventionen
Für eine US-PE-eigene SAST-Plattform wie Checkmarx Cloud bedeutet das: Das PE-Unternehmen hat theoretisch Zugang zu einer vollständigen Quellcode-Kopie — ein Asset, das für Wettbewerbs-Intelligence in M&A-Prozessen extrem wertvoll wäre. CLOUD Act-Anfragen durch US-Behörden wären der formale Weg; weniger formale Einblicke durch Investorenstrukturen sind schwer ausschließbar.
DAST Scanning Paradox: Vulnerability Maps unter Intelligence-Zugriff
PortSwigger Burp Suite Enterprise ist ein Sonderfall in der AST-Serie. Als DAST-Tool scannt es keine Quellcode-Dateien, sondern laufende Anwendungen — HTTP-Requests, Responses, Authentication-Flows, API-Endpoints.
Was Burp Enterprise speichert:
- Vulnerability Maps: Vollständige Schwachstellen-Topographie eurer Produktionssysteme
- Authentication Tokens: Gültige Session-Tokens für getestete Endpunkte (zum Zeitpunkt des Scans)
- Endpoint-Inventare: Alle entdeckten APIs, Admin-Panels, Legacy-Endpoints
- CVE-Details: Spezifische ungepatchte Schwachstellen mit Exploit-Hinweisen
Für einen UK-DAST-Anbieter unter IPA 2016 + US-UK bilateral agreement bedeutet das: Eine britische (GCHQ) oder US-amerikanische (NSA/FBI) Behörde könnte theoretisch auf eine aktuelle Schwachstellen-Karte eurer EU-Infrastruktur zugreifen — eine Ressource, die für Spionage oder Angriffsvorbereitung direkt verwertbar wäre.
NIS2 Artikel 21(2)(d) verlangt Supply Chain Security Assessment für kritische Dienstleister. Ein DAST-Tool, das Vulnerability Maps speichert, qualifiziert als hochrisikanter Lieferant unter dieser Anforderung.
Vergleich: AST-Serie vs CWPP-Serie
In der EU-CWPP-Serie lagen die Scores zwischen 17/25 (Trend Micro) und 22/25 (Lacework/FortiCNAPP). Die AST-Serie liegt zwischen 17/25 (Sonatype) und 19/25 (Checkmarx, PortSwigger) — also insgesamt etwas niedriger.
Der strukturelle Unterschied: CWPP-Tools überwachen zur Laufzeit und haben Zugang zu Workload-Verhalten. AST-Tools haben dagegen Zugang zu Quellcode und Schwachstellen-Inventaren — statischeren, aber oft wertvolleren Assets aus IP-Sicht.
Besonders der PortSwigger-Score (19/25) ist bemerkenswert, da UK-Anbieter oft als "EU-nah" wahrgenommen werden. Post-Brexit hat UK seine eigene Surveillance-Jurisdiktion (IPA 2016) deutlich ausgebaut, und der US-UK bilateral agreement seit August 2022 schafft eine direkte US-Behörden-Zuständigkeit für UK-Unternehmens-Daten.
EU-nativer AST-Stack: Vier Pfade ohne CLOUD Act
Alle EU-nativen AST-Alternativen erzielen 0/25 in der CLOUD Act Matrix, wenn sie self-hosted betrieben werden:
Pfad 1: Vollständiger OSS-SAST-Stack
Semgrep OSS (MIT-Lizenz, Semgrep Inc. San Francisco — aber das OSS-Produkt selbst ist selbst-hostbar ohne Datenübermittlung):
- Pattern-basierte SAST, 30+ Sprachen
- Community-Regelsets + eigene Rules möglich
- CI/CD-Integration: GitHub Actions, GitLab CI, Jenkins
- SARIF-Output für DefectDojo-Integration
SonarQube Community Edition (Sonarsource SA, Genf, Schweiz — EU-reguliert, LGPL):
- Vollständige Self-Hosted-Option ohne Cloud-Zwang
- 30+ Sprachen, Quality Gates, Security Hotspots
- GDPR-konform: alle Daten im eigenen Rechenzentrum
- Note: Sonarsource SA ist Schweizer Unternehmen (EU-Adequacy-Decision gültig)
Bearer (bearersh, französisches Unternehmen, MIT):
- Spezialisiert auf Datensicherheit im Code (PII-Erkennung, API-Security)
- Ergänzung zu SonarQube für Privacy-by-Design-Anforderungen
Pfad 2: SCA-Stack für CRA-Konformität
OWASP Dependency-Track (Apache 2.0, OWASP Foundation — US non-profit, aber vollständig self-hosted):
- CycloneDX + SPDX SBOM-Import und -Export
- Vulnerability-Feeds: NVD, OSV, GitHub Advisory — kein US-PE-Betreiber
- VEX (Vulnerability Exploitability eXchange) Support für CRA-Compliance
- Integration mit cdxgen für automatische SBOM-Generierung
cdxgen (Apache 2.0, OWASP):
- Generiert CycloneDX SBOMs aus 20+ Sprachen/Ökosystemen
- CLI + Docker-Image für CI/CD-Integration
OWASP Dependency-Check (Apache 2.0):
- Maven, Gradle, npm, pip, NuGet, etc.
- NVD-Offline-Feed-Option (kein Internet-Zugang im Build nötig)
Pfad 3: DAST-Stack ohne CLOUD Act
OWASP ZAP (Apache 2.0, OWASP Foundation):
- Industriestandard für Open-Source-DAST
- Proxy-Mode + Spider + Active Scan + API-Scan
- CI/CD-Integration via Docker:
docker run -t owasp/zap2docker-stable zap-baseline.py - DefectDojo-Integration für Vulnerability-Tracking
Nuclei (MIT-Lizenz, ProjectDiscovery):
- Template-basiertes DAST/Recon-Tool
- 9.000+ Community-Templates für CVEs, Fehlkonfigurationen, Exposures
- CLI-First-Design, keine Cloud-Abhängigkeit
- YAML-Templates einfach erweiterbar für eigene Test-Cases
Greenbone Networks GmbH (Osnabrück, Deutschland — einzige EU-GmbH mit kommerziellem DAST/Vulnerability-Management):
- Greenbone Vulnerability Manager (GVM) — EU-native Open-Source-Basis (GPL)
- Greenbone Enterprise Appliance für On-Premises-Deployments
- OpenVAS-Community-Feed + kommerzieller Greenbone-Feed
- BaFin/BSI-relevant für KRITIS-Betreiber (BSI IT-Grundschutz-kompatibel)
Pfad 4: Vulnerability Management und Tracking
DefectDojo (BSD 3-Clause, DefectDojo Inc. — fully self-hosted):
- Aggregiert Findings aus SAST/SCA/DAST in einer Plattform
- 100+ Importformate (SARIF, CycloneDX, ZAP, Nuclei, Semgrep)
- Ticketing-Integration: Jira, GitHub Issues, Azure DevOps
- Self-hosted = keine CLOUD Act-Exposition
GDPR Art. 32, NIS2 Art. 21 und CRA: Was bedeutet das konkret?
GDPR Art. 32 — Technische Sicherheitsmaßnahmen: AST-Tools gehören zu den technischen Maßnahmen, die EU-Unternehmen gemäß Art. 32 implementieren sollen. Das Paradox: Wenn das AST-Tool selbst unter CLOUD Act steht, könnte die Schutzmaßnahme selbst ein Compliance-Risiko erzeugen. Ein Transfer Impact Assessment (TIA) nach Schrems II für US-SAST-Tools muss die Quellcode-Sensitivität berücksichtigen — bei SAST mit vollständigem Code-Zugang ist eine positive TIA kaum begründbar.
NIS2 Art. 21(2)(a) — Risikoanalyse und Informationssystem-Sicherheit: NIS2-Unternehmen müssen Richtlinien zur Risikoanalyse implementieren. AST-Tools als Teil des Security-Programms unterliegen damit selbst einer Risikobewertung. Ein US-DAST-Tool unter D2=5/5 (PortSwigger) oder ein US-SAST-Tool unter D3=5/5 (Checkmarx) ist ein dokumentierungspflichtiger Supply-Chain-Risikopunkt.
NIS2 Art. 21(2)(d) — Supply-Chain-Sicherheit: AST-Tools sind per Definition Supply-Chain-Komponenten in eurem Security-Prozess. NIS2 verlangt Sicherheitsmaßnahmen für direkte Lieferanten und Dienstleister. PortSwiggers DAST-Scanning-Ergebnisse zu eurer EU-Infrastruktur bei einem IPA/CLOUD-Act-exponierten Anbieter zu speichern ist ein Art. 21(2)(d)-Risikopunkt, der dokumentiert werden muss.
CRA — Cyber Resilience Act (in Kraft, Übergangszeitraum läuft): CRA Art. 13 (SBOM-Pflicht) + CRA Anhang I (Security-Testing-Anforderungen) schaffen eine direkte Nachfrage nach AST-Tooling. Der CRA-SBOM-Paradox (Compliance-Pflicht erzeugt CLOUD-Act-Risiko) ist lösbar durch EU-nativen SCA-Stack: OWASP Dependency-Track + cdxgen + CycloneDX-Format.
DORA Art. 28 — ICT-Drittanbieter-Risiko (Finanzsektor): Für DORA-verpflichtete Unternehmen (Banken, Versicherungen, Asset Manager) müssen ICT-Drittanbieter-Verträge spezifische Sicherheitsklauseln enthalten. US-PE-eigene AST-Plattformen mit CLOUD-Act-Exposition erfordern unter DORA Art. 28 eine formale Risk-Assessment-Dokumentation.
Drei CLOUD Act Risikoszenarien für EU-AST-Kunden
Szenario 1 — Source Code Intelligence (betrifft SAST-Nutzer): Ein US-Wettbewerber nutzt US-Behörden-Kanäle, um über einen CLOUD Act Beschluss gegen euren SAST-Anbieter Zugang zu gespeicherten Code-Analysen zu erlangen. Der Beschluss zielt nominell auf "Terrorismusfinanzierung" oder "Cybercrime-Ermittlungen", deckt aber de facto eure Quellcode-Artefakte ab. Rechtsweg: Jahrelang, Ergebnis ungewiss. Wettbewerbsschaden: Sofort.
Szenario 2 — Vulnerability Map Exploitation (betrifft DAST-Nutzer): Eine staatliche Akteur-Gruppe nutzt eine Schwachstelle im DAST-Anbieter-System (oder behördlichen Zugang), um aktuelle Vulnerability-Maps eurer EU-Produktionssysteme zu extrahieren. Die Map enthält ungepatchte CVEs und spezifische Endpoint-Konfigurationen. Zeitfenster zwischen Erstellung der Map und Patch-Deployment wird für gezielte Angriffe genutzt.
Szenario 3 — SBOM-Disclosure in M&A-Due-Diligence (betrifft SCA-Nutzer): Während einer feindlichen Übernahme oder M&A-Prozess nutzt ein US-PE-Käufer seine Netzwerkverbindungen zum SCA-Anbieter (oder behördliche Wege), um SBOMs eurer Kernprodukte einzusehen. SBOM enthält vollständige Abhängigkeitsstruktur, die eine Einschätzung eurer technischen Schuld, Lizenzkonflikte und Substitutionskosten ermöglicht.
Entscheidungsmatrix: Wann welche Lösung?
| Szenario | Empfehlung | Begründung |
|---|---|---|
| Startup, kein Compliance-Requirement | Semgrep OSS + Dependency-Track | 0/25, kostenlos, CI/CD-Integration in 30 Min |
| NIS2-verpflichtetes EU-Unternehmen | SonarQube CE + ZAP + Dependency-Track | Vollständiger EU-Stack, alle 3 AST-Kategorien |
| KRITIS-Betreiber (BSI-Kontext) | Greenbone Enterprise + SonarQube CE | Greenbone GmbH Osnabrück = BSI-kompatibel |
| Finanzsektor (DORA Art. 28) | Vollständiger EU-OSS-Stack + vertragliche Dokumentation | DORA verlangt Drittanbieter-Assessment |
| CRA-Compliance (SBOM-Pflicht) | cdxgen + Dependency-Track + CycloneDX | CRA-SBOM-Paradox mit US-SCA vermeiden |
| Enterprise, US-AST evaluieren | PortSwigger nur on-premises (kein Enterprise Cloud) | UK-Cloud = IPA + US-UK bilateral. On-Prem = 0 CLOUD Act |
Empfehlung: EU-nativer AST-Stack für das DevSecOps-Pipeline
Der vollständige EU-native AST-Stack, der alle drei Test-Kategorien (SAST/SCA/DAST) abdeckt und 0/25 in der CLOUD Act Matrix erzielt:
SAST: SonarQube Community Edition (Docker: sonarqube:lts-community) + Semgrep OSS für Custom Rules
# SonarQube self-hosted (EU-Rechenzentrum)
docker run -d --name sonarqube -p 9000:9000 sonarqube:lts-community
SCA + SBOM: cdxgen + OWASP Dependency-Track
# SBOM generieren
docker run --rm -v $(pwd):/app ghcr.io/owasp-dep-scan/cdxgen:latest cdxgen /app -o /app/sbom.json
# Dependency-Track für SBOM-Management (docker-compose verfügbar)
DAST: OWASP ZAP (Baseline-Scan für CI/CD + Full-Scan für Releases)
# ZAP Baseline Scan (CI/CD)
docker run -t ghcr.io/zaproxy/zaproxy:stable zap-baseline.py -t https://your-app.example.eu
Vulnerability Aggregation: DefectDojo (aggregiert alle Findings aus SAST/SCA/DAST in einer Plattform)
Enterprise DAST/Vulnerability Management: Greenbone Networks GmbH (Osnabrück, DE) als einzige EU-native kommerzielle Option mit Enterprise-Support
Dieser Stack deckt alle AST-Anforderungen aus GDPR Art. 32, NIS2 Art. 21(2)(a)+(d) und CRA Anhang I ab — ohne einen einzigen US-PE-kontrollierten Datenpunkt.
Fazit: AST-Tool-Kauf ist eine Souveränitätsentscheidung
Die EU-AST-Serie zeigt ein klares Muster: Alle vier analysierten US-Marktführer (Checkmarx, Sonatype, Coverity/Black Duck, PortSwigger) stehen unter US- oder UK-Jurisdiktion und erzielen Scores zwischen 17/25 und 19/25 in der CLOUD Act Matrix.
Was diese Serie von anderen unterscheidet: AST-Tools berühren die sensibelsten Assets im Software-Entwicklungsprozess. Quellcode (SAST), Abhängigkeits-Architektur (SCA) und Schwachstellen-Topographie (DAST) sind genau die Daten, die für Industrie-Spionage, M&A-Prozesse und staatliche Aufklärung von höchstem Wert sind.
Gleichzeitig ist der EU-native Alternativ-Stack — Semgrep + SonarQube CE + OWASP ZAP + Dependency-Track + Greenbone — heute produktionsreif, industrietauglich und kostengünstig verfügbar. Die Wahl zwischen US-AST-SaaS und EU-nativer AST-Toolchain ist keine Trade-off-Entscheidung mehr zwischen Komfort und Compliance: Sie ist eine strategische Entscheidung darüber, wer Zugang zu euren Software-Assets haben darf.
Nächste Schritte:
- Checkmarx EU Alternative 2026 — SAST im Detail
- Sonatype Nexus EU Alternative 2026 — SCA und Maven Central
- Synopsys Coverity EU Alternative 2026 — SAST-Rebrand-Trick
- PortSwigger Burp Suite EU Alternative 2026 — DAST und UK-Jurisdiktion
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.