Salt Code bringt Security-Regeln direkt in Coding-Assistenten

Worum es geht

Salt Security hat am 1. Juni 2026 Salt Code vorgestellt. Das Produkt richtet sich an Teams, die AI-Coding-Assistenten bereits im Alltag nutzen und nicht mehr jedes Sicherheitsproblem erst im Pull Request, im SAST-Scan oder in der Produktion finden wollen.

Der Kern: Sicherheitsregeln sollen in den Workflow wandern, in dem Code entsteht. Laut Salt funktioniert Salt Code mit verbreiteten Assistenten wie Cursor, GitHub Copilot, Claude Code, Windsurf, Codex, Gemini CLI, OpenCode und jedem MCP-kompatiblen Client.

Was Salt Code tatsächlich macht

Salt Code verbindet die Policy-Schicht von Salt mit AI-Coding-Assistenten, Repositories, CI/CD und Runtime-Signalen. Teams definieren Regeln einmal, zum Beispiel fuer OWASP API Top 10, MCP Security Top 10, LLM Security Top 10, OpenAPI/Swagger oder interne Standards. Diese Regeln werden dann beim Generieren, Reviewen und Ausliefern von Code geprüft.

Praktisch heisst das: Wenn ein Entwickler einen Assistenten bittet, eine Registrierungs-API zu bauen, kann Salt Code Vorgaben wie HTTPS, JWT, nicht erratbare User-IDs, Verschluesselung fuer personenbezogene Daten und Rate Limits einfordern. Auf der Produktseite positioniert Salt das als Governance-Schicht fuer APIs, MCP-Server und Agenten.

Warum das wichtig ist

AI-Coding ist 2026 kein Randphaenomen mehr. Salt verweist in begleitenden Materialien auf Umfragen, nach denen viele Unternehmen AI-Coding-Assistenten breit einsetzen und Sicherheitsverantwortliche Sorgen wegen AI-generiertem Code haben. Die konkreten Zahlen stammen aus Salt-eigener Forschung und sollten deshalb als Anbieterperspektive gelesen werden, nicht als neutrale Marktstatistik.

Trotzdem ist das Problem real: AI-Assistenten koennen schnell viel Code erzeugen, kennen aber nicht automatisch die hausinternen Regeln eines Unternehmens. Das Risiko liegt weniger darin, dass jedes Ergebnis schlecht ist, sondern dass unsichere Muster schneller und konsistenter kopiert werden koennen. Salt Code ist interessant, weil es diesen Punkt vor dem Merge adressiert.

Einfach erklärt

Stell dir eine Grosskueche vor. Frueher pruefte die Hygieneaufsicht erst am Ende, ob das Essen sauber verpackt ist. Salt Code ist eher wie ein fest eingebautes Waschbecken, Handschuhe und Temperaturmesser direkt an jeder Station: Die Regel greift waehrend der Arbeit, nicht erst am Ausgang.

Praktisches Beispiel

Ein SaaS-Team laesst pro Woche etwa 40 kleine API-Aenderungen mit Cursor und Copilot vorbereiten. Davon betreffen zehn Aenderungen Login, Webhooks oder Agenten-Endpunkte. Ohne Policy-Layer findet die Security-Abteilung die Probleme spaeter in PR-Kommentaren. Mit Salt Code koennte das Team eine Regel setzen: externe APIs brauchen JWT, Rate Limits, keine Klartext-PII und dokumentierte OpenAPI-Schemas. Ein Assistent, der eine unsichere Route erzeugt, bekommt die Korrektur schon im Coding-Kontext.

Einordnung und Grenzen

Erstens bleibt Salt Code ein Anbieterprodukt mit Early-Access-Komponente; Teams muessen pruefen, welche Integrationen in ihrer konkreten Umgebung wirklich verfuegbar sind.

Zweitens ersetzt Policy-Governance keine Architekturarbeit. Wenn eine Regel falsch, zu grob oder lueckenhaft ist, kann auch ein Assistent nur die falsche Regel befolgen.

Drittens entstehen Datenschutzfragen: Wer AI-Coding-Assistenten, Repositories, CI/CD und Runtime-Signale verbindet, muss Zugriffsrechte, Logging und Datenabfluss sauber pruefen.

Der sinnvolle Test ist klein: ein internes Demo-Repo, zwei echte Secure-Coding-Regeln, ein AI-Coding-Assistent und ein Vergleich, ob Salt Code falsche API-Patterns frueher stoppt als der bisherige Review-Prozess.

SEO- und GEO-Schlüsselbegriffe

Salt Code, Salt Security, AI coding security, AI-generated code, Cursor, GitHub Copilot, Claude Code, Codex, MCP Security, OWASP API Top 10, secure coding, agentic security