Aikido Code Audit es una nueva herramienta de seguridad que ocupa el espacio intermedio entre los escáneres SAST (análisis estático basado en reglas) y las pruebas de pentesting manuales. Su premisa es que ciertas vulnerabilidades, especialmente las de lógica, no siguen patrones reconocibles, por lo que los motores de análisis estático no pueden detectarlas y los pentests en vivo solo las descubren cuando alguien con credenciales adecuadas ejecuta el código.
La herramienta trabaja directamente sobre el código fuente estático, sin necesidad de un entorno de pruebas activo ni de credenciales de autenticación. Rastreando referencias entre archivos y módulos, identifica cadenas de varios pasos donde ninguna línea individual infringe una regla, como un IDOR distribuido en tres ficheros o un patrón de ReDoS invisible a un análisis superficial. Cada hallazgo llega acompañado de la causa raíz, evidencias en el código y una función de AutoFix que genera automáticamente una solicitud de cambio para corregir el problema.
Aikido recomienda utilizarla antes de un lanzamiento importante o tras integrar una funcionalidad destacada. Funciona en aplicaciones web, apps móviles (donde no hay URL que atacar), contratos inteligentes (donde no conviene ejecutar exploits en producción) y bases de código heredadas con cobertura SAST limitada.
Según las pruebas internas de Aikido y los primeros usuarios, Code Audit cubre entre el 70 % y el 80 % de lo que detecta un pentest completo, a una décima parte del coste, y encuentra una mediana de 25 problemas de seguridad por repositorio. Iniciar una auditoría lleva unos minutos y los resultados suelen estar listos en cinco minutos, según el tamaño y la complejidad del código.