SastAction

Documentação comercial — SastAction

Material consolidado de apresentação a clientes, parceiros e investidores.

SastAction

Análise estática de código com IA, validação humana e evidência auditável — em 3 relatórios sob medida para cada público.

Resumo executivo

Empresas que vendem software para clientes corporativos enfrentam uma pergunta recorrente: "como você comprova que seu código é seguro?" As respostas atuais são extremos opostos: certificações caras e demoradas (ISO 27001, SOC 2) ou prints de scanners genéricos sem credibilidade externa.

A SastAction preenche essa lacuna. Você nos envia o código, nós analisamos com um conjunto de scanners reconhecidos pela indústria — SAST e SCA — enriquecemos cada achado com IA, validamos com analista humano e entregamos três relatórios diferentes: técnico, executivo e público. Cada um inclui um hash SHA-256 verificável por qualquer auditor externo durante 365 dias.

Resultado: você responde à pergunta do cliente em horas, não meses, com evidência rastreável que ninguém consegue forjar.

Por que SastAction

1. IA-assistida + humano-validado

Scanners brutos produzem listas de falsos positivos. IA bruta produz alucinações criativas. A combinação dos dois, com revisão humana antes da entrega, produz achados úteis e bem contextualizados.

2. Hash verificável publicamente

Cada relatório tem um identificador SHA-256 único, validável em https://sastaction.com/verify/<hash> durante 365 dias. Sem login. Sem confiar na nossa palavra.

3. Três relatórios, três audiências

Em vez de um PDF gigante que serve mal a todos, você recebe:

  • Técnico para o time de engenharia (arquivo, linha, fix)
  • Executivo para o conselho (score, esforço, prazo)
  • Público para circular fora (hash, totais, zero detalhe)

4. Linguagem cirúrgica

Não afirmamos que você atende plenamente alguma norma — é mentira. Não dizemos que certificamos LGPD — não temos credencial pra isso. Dizemos: avaliamos esses controles, identificamos esses achados, mapeamos para esses frameworks. Honestidade radical, defensável em juízo.

5. Foco no normativo brasileiro

Análise mapeada para LGPD, além dos padrões internacionais (OWASP Top 10, CWE/SANS Top 25, CVE/NVD). Tradução técnica para a realidade regulatória do Brasil.

Metodologia

Quatro fases bem definidas:

Fase 1 — Triagem

Detecção automática de linguagens, identificação de manifestos de dependência, seleção dos scanners aplicáveis e cálculo de superfície de análise (LOC efetivos).

Fase 2 — Análise multi-camada

Execução paralela e isolada de scanners SAST (código-fonte) e SCA (dependências de terceiros) reconhecidos pela indústria. Cada scanner roda em ambiente sem rede externa, sem acesso ao sistema host. Achados de scanners diferentes que apontam para o mesmo arquivo/linha são consolidados — quando múltiplos scanners confirmam o mesmo ponto, a confiança aumenta.

Fase 3 — Enriquecimento por IA

Cada achado recebe contexto adicional via modelo de IA da família Claude (Anthropic):

  • Tradução do impacto técnico para impacto de negócio
  • Sugestão de correção alinhada ao contexto do código
  • Identificação de normativos potencialmente impactados

A versão do modelo de IA usada é declarada em cada relatório. Cada chamada ao modelo é hasheada para auditoria.

Fase 4 — Validação humana

Antes da entrega, um analista revisa achados críticos, marca falsos positivos óbvios e valida a coerência do conjunto. Esta etapa nunca é pulada, mesmo em entregas urgentes.

Fase 5 — Entrega auditável

Os três relatórios são gerados, assinados com hash SHA-256 único e registrados em base que permite verificação pública por 365 dias. Você recebe os links por e-mail.

Frameworks de referência

Cada achado é mapeado para frameworks reconhecidos internacionalmente:

Framework Cobertura
OWASP Top 10 (2017 + 2021) Categorias A01 a A10 nas duas versões
CWE / SANS Top 25 Identificadores CWE-XXX para cada finding
CVE / NVD Vulnerabilidades em dependências de terceiros
LGPD Lei 13.709/2018, artigos relevantes a tratamento técnico (Art. 46 em destaque)

Nota: mapeamento não é certificação. Significa "este achado potencialmente impacta o controle X" — cabe ao seu DPO/jurídico tomar a decisão final.

Melhores práticas embarcadas

  • Análise estática (SAST) — escopo claro: padrões no código. Não é DAST, não é pentest.
  • Software Composition Analysis (SCA) — cruzamento de dependências com base pública de CVEs.
  • Dedup cross-scanner — quando dois scanners detectam a mesma vulnerabilidade, consolidamos em um único finding de alta confiança.
  • Classificação por severidade — Crítico, Alto, Médio, Baixo, com critérios públicos.
  • Sugestão de correção por CWE — não copy-paste; contextualizada ao seu código.
  • Linguagem cirúrgica — proibido afirmar conformidade regulatória. Lint automatizado garante.

Entregáveis

Para cada análise, você recebe:

Relatório Técnico (PDF)

Destinado ao time de engenharia. Lista completa de achados por arquivo:linha, com:

  • Trecho do código vulnerável
  • CWE + OWASP
  • Descrição do problema
  • Sugestão de correção
  • Impacto de negócio

Relatório Executivo (PDF)

Destinado à diretoria. Visão consolidada em 2-3 páginas:

  • Score de risco (0-100)
  • Distribuição por severidade
  • Esforço estimado de remediação (horas)
  • Recomendações priorizadas

Relatório Público (PDF)

Destinado a auditores e clientes finais. Pode ser anexado em proposta comercial:

  • Resumo da análise (sem expor vulnerabilidades específicas)
  • Totalizadores por severidade
  • Hash + QR code grande
  • Instruções para verificação pública

Verificação

  • Hash SHA-256 único, presente nos 3 relatórios
  • URL pública https://sastaction.com/verify/<hash> válida por 365 dias
  • QR code que aponta para a URL acima
  • Acesso direto aos PDFs por 30 dias (após isso, código é purgado e PDFs ficam disponíveis sob demanda do cliente)

Wiki de cliente

Acesso vitalício (365 dias renováveis) a uma área de documentação com glossário, FAQ, instruções de uso dos relatórios e canal de suporte.

Transparência da IA

A IA atua como co-piloto, não autora. Especificamente:

  • O que a IA faz: enriquece findings já identificados pelos scanners com contexto narrativo (impacto, fix, normativo). Não inventa vulnerabilidade que o scanner não viu.
  • O que a IA NÃO faz: não toma decisões de severidade, não publica achado sem revisão humana, não acessa dados sensíveis fora do escopo da análise.
  • Modelo declarado: cada relatório informa qual versão do modelo Claude foi utilizada na análise.
  • Auditabilidade: cada chamada de IA é registrada com hash do input e hash do output, permitindo reprodução verificável.

Escopo claro e camadas complementares

Segurança de aplicação é multi-camada. O SastAction cobre a camada de código-fonte (SAST + SCA) com profundidade. Para uma estratégia completa de segurança, recomendamos combinar com:

  • DAST (análise dinâmica) — testa o comportamento da aplicação em runtime: misconfig de headers, race conditions, fluxos de autenticação executados de ponta a ponta. Complementa o SAST: enquanto nós garantimos código bem escrito, o DAST garante que ele roda com segurança.
  • Pentest manual — essencial em momentos estratégicos (pré-lançamento de produto, recepção de cliente corporativo de alto valor, ciclo anual de hardening). Pentester humano encadeia falhas pequenas em explorações maiores com criatividade que nenhuma ferramenta automatizada replica.
  • Auditoria de infraestrutura — necessária para hardening de cloud, Kubernetes, IaC, IAM e firewall. A análise de código não enxerga essa camada; auditoria de infra sim.
  • Certificações regulatórias (ISO 27001, SOC 2, PCI DSS, programa LGPD) — emitidas por auditor humano credenciado, cobrem escopo administrativo + processual + técnico. O SastAction entrega as evidências técnicas auditáveis tipicamente solicitadas como parte do processo de certificação — combinado com a auditoria credenciada, você fecha o ciclo.

Trabalhamos com parceiros nessas camadas e fazemos indicações quando faz sentido — pergunte ao suporte ao montar sua estratégia.

O que vem por padrão com o SastAction

  • Análise técnica de código (SAST + SCA) com profundidade auditável
  • IA + revisão humana antes da entrega — você recebe achados já curados
  • Mapeamento OWASP Top 10, CWE e normativos brasileiros (LGPD)
  • 3 relatórios sob medida + hash verificável publicamente por 365 dias
  • Transparência radical: nada de carimbos opacos, tudo defensável em auditoria
  • Privacidade by design: código apagado em até 30 dias; nada é usado para treinar modelos externos

Pricing

Quatro tiers, todos com os 3 relatórios + hash verificável de 365 dias:

Tier Volume APIs SLA entrega Preço
Start até 30k linhas 1 aplicação 72h R$ 2.100 / análise
Essential até 100k linhas 1 app + até 3 APIs 72h R$ 4.900 / análise
PRO até 250k linhas 1 app + até 5 APIs 72h R$ 7.800 / análise
Scale acima de 250k linhas multi-app negociado sob consulta

PRO inclui mapeamento detalhado OWASP + CWE e suporte prioritário em chat. Scale inclui apresentação dos achados, SLA negociado e NDA customizado. Todos os tiers têm o mesmo SLA padrão de 72h úteis; análise expressa em 48h (+25%) ou 24h (+50%) disponível como adicional para qualquer plano.

Orçamento enviado em até 48h em horário comercial após preenchimento do formulário inicial.

Setores atendidos

Trabalhamos com times de:

  • Fintech — análises com foco em manuseio de dados financeiros e PCI
  • Healthtech — LGPD com vetor de dados pessoais sensíveis
  • E-commerce — pipelines com alta exposição pública
  • SaaS B2B — diligência técnica solicitada por compradores corporativos
  • Indústria 4.0 — pipelines IoT/OT, código embarcado em ambientes mistos
  • Educação — plataformas com dados de menores
  • Governo / GovTech — escopo regulatório brasileiro intensivo
  • Logística — APIs de alta cardinalidade, integrações com terceiros
  • Mídia — plataformas com tráfego volátil e payloads dinâmicos
  • Energia — pipelines de monitoramento, controles operacionais

Próximos passos

  1. Solicite um orçamento em https://sastaction.com — leva 3 minutos, sem cadastro
  2. Receba a proposta em até 48h em horário comercial
  3. Pague + envie o código — link seguro de upload, uso único, 7 dias de validade
  4. Receba os 3 relatórios em 72h úteis após confirmação do pagamento (ou em 48h/24h se contratar análise expressa)

Em caso de dúvidas comerciais: contato@sastaction.com.

SastAction · Evidências técnicas auditáveis — não constitui certificação regulatória.