Aurum Avis Labs Logo

Code-Qualität

Vibe Code Review

Mit Cursor, Lovable, v0 oder Claude Code etwas am Laufen? Wir schauen uns Sicherheit und Architektur an, bevor echte Nutzer oder eine Due Diligence das für Sie tun.

Review buchen

Zielgruppe

Passt das zu Ihnen?

  • Gründer mit einem KI-gebauten MVP

    Cursor, Lovable oder ähnlich: Sie haben etwas Reales stehen. Bevor Sie live gehen, will manchmal einfach jemand mit vielen Produktions-Deployments drüberschauen.

  • Gründer vor dem Fundraising

    Die Due Diligence kommt. Besser Sie wissen vorher, welche Fragen auf dem Tisch landen, als wenn es die Gegenseite herausfindet.

  • Gründer vor dem ersten Tech-Hire

    Bevor Sie eine CTO oder eine Lead-Entwicklerin einstellen: klar haben, was die Person übernimmt und wo die Basis wackelig ist.

Hintergrund

Was ASVS hier konkret bedeutet

OWASP pflegt den Application Security Verification Standard (ASVS) als öffentliche Anforderungsliste für Web-Applikationen. Statt Security nach Bauchgefühl gibt es Prüfpunkte zu Login, Rechten, Konfiguration, Daten in Transit und Ruhe, APIs, Logging und mehr. Wir hängen unsere Reviews daran, weil Due-Diligence-Teams, Auditoren und erfahrene Engineers oft genau diese Kategorien erwarten, wenn sie Risiko einschätzen.

  • Im ASVS sind Verifikationslevel priorisierte Stufen auf derselben Anforderungsliste: Jedes höhere Level erhöht Tiefe und Nachweisaufwand und setzt die darunterliegenden Anforderungen voraus, keine zwei völlig getrennten „Produkte“.
  • Sie bekommen einen Gap Report: was passt, was fehlt, was technisch danebenliegt. Das ist keine Zertifizierung und kein reines Checkbox-Papier.

Ergebnisse

Was Sie bekommen

  • OWASP-ASVS-Gap-Report: konkrete Befunde zu Lücken und wo Sie gegen Anforderungen liegen
  • Rund acht Stunden Architektur- und Codequalität (Lesen, Einordnen, dokumentieren)
  • Massnahmenplan mit P0 (sofort), P1 (bald), P2 (wenn Zeit ist)
  • Ein paar Quick Wins, die oft in einem Sprint drin sind
  • Ein Abschlussgespräch: Befunde durchgehen und was zuerst ran muss

Ablauf

Wie wir vorgehen

  1. 1

    Zugang zum Repository

    30 Min. Setup

    Sie fügen uns mit Leserecht als Collaborator hinzu. NDA unterschreiben wir vorher.

  2. 2

    OWASP ASVS Prüfung

    2 bis 5 Werktage

    Wir gehen Ihre App gegen OWASP ASVS (Version 5.0) durch und schreiben auf, wo es hakt: Sicherheit und Abweichungen von den geprüften Anforderungen.

  3. 3

    Architektur- und Qualitätsprüfung

    8 Stunden

    Codequalität, Architektur, Abhängigkeiten, Wartbarkeit. Das ist fest in jedem Paket drin.

  4. 4

    Gap Report und Ergebnisgespräch

    60 Min.

    Schriftlicher Report plus ein Termin, um Prioritäten zu setzen und Fragen zu klären.

Preise

  • OWASP ASVS Level 1

    Regulär CHF 7'200

    CHF 3'600 /Audit 50 % Einführung
    • Fokussierte Prüfung, rund 20 % der ASVS-Anforderungen
    • OWASP ASVS v5.0 Level 1 Gap Report
    • 8 Std. Architektur und Codequalität
    • Ergebnisgespräch
    • NDA inklusive
    Level 1 Audit buchen
  • Am beliebtesten

    OWASP ASVS Level 2

    Regulär CHF 14'400

    CHF 7'200 /Audit 50 % Einführung
    • Tiefere Prüfung, rund 70 % der ASVS-Anforderungen
    • OWASP ASVS v5.0 Level 2 Gap Report
    • 8 Std. Architektur und Codequalität
    • Ergebnisgespräch
    • NDA inklusive
    Level 2 Audit buchen

Der durchgestrichene Betrag ist unser üblicher Listenpreis ohne Einführungsrabatt. Wir behalten uns vor, dieses Angebot anzupassen oder zu beenden, sobald die Slots voll sind.

FAQ

Häufige Fragen

Was ist der OWASP ASVS?
ASVS ist eine öffentlich gepflegte Checkliste von OWASP, mit der Teams Web-Apps auf Sicherheit prüfen. Level 1 fokussiert auf das Wesentliche. Level 2 lohnt sich typischerweise, wenn Sie sensible Daten haben und zeigen wollen, dass die üblichen Kontrollen sitzen. Im Audit mappen wir Ihre App auf diese Anforderungen; der Gap Report listet, wo es hakt.
Was ist der Unterschied zwischen Level 1 und Level 2?
Level 1: schmaler Scope, etwa 20 % der Anforderungen. Level 2: etwa 70 %, dabei auch, ob die vorgesehenen Sicherheitsmechanismen wirklich greifen, nicht nur ob sie irgendwo stehen.
Welche Sprachen und Frameworks prüfen Sie?
TypeScript und JavaScript (Node.js, React, Next.js, Astro), Python (FastAPI, Django, Flask), dazu Go und Rust.
Beheben Sie die gefundenen Probleme auch?
Nein, nicht im Paketpreis: der Audit ist Diagnose, keine Umsetzung. Wenn Sie wollen, machen wir danach ein separates Angebot fürs Fixen.
Wie vertraulich läuft das Ganze ab?
NDA vor Repo-Zugang. Ihr Code geht nicht an Dritte und wird nicht für andere Zwecke als diesen Audit verwendet.

Ähnlich

Vor dem Launch oder vor der Due Diligence

Lassen Sie uns Ihren KI-gebauten Code anschauen

Schicken Sie uns kurz, was Sie gebaut haben und mit welchem Tool.

Review buchen Nachricht senden

Robert Schlittler, Mitgründer · Antwort meist innerhalb 24 h

Cookie-Einstellungen

Passen Sie Ihre Cookie-Einstellungen an. Wesentliche Cookies können nicht deaktiviert werden, da sie für die Funktionsweise der Website erforderlich sind.

Wesentliche Cookies

Erforderlich für grundlegende Website-Funktionalität, Sicherheit, Benutzerauthentifizierung und Fehlerverfolgung.

Immer aktiv

Analyse-Cookies

Helfen uns zu verstehen, wie Besucher mit unserer Website interagieren, um das Benutzererlebnis zu verbessern. Beinhaltet Google Analytics und Microsoft Clarity Session Recordings.

Marketing-Cookies

Werden verwendet, um Besucher über Websites hinweg zu verfolgen, um relevante und ansprechende Werbung anzuzeigen.