Enterprise-Sicherheit — kostenlos inklusive
Krypto-Audit-Logs, SAML 2.0, SCIM 2.0 und FLAC — alles kostenlos enthalten. Mitbewerber berechnen tausende Euro pro Jahr.
Was enthalten ist (kostenlos)
SHA-256 verkettete Audit-Logs
Jede Mutation wird kryptographisch verkettet. Manipulationssicher, SOC 2 und DSGVO-konform. Hashing wird in Worker Threads ausgelagert — kein Einfluss auf den Main Event Loop.
Field-Level Access Control (FLAC)
Entfernt nicht autorisierte Felder physisch aus API-Antworten auf Datenbankadapter-Ebene. Nicht nur in der UI versteckt — wirklich nicht in der Antwort vorhanden.
SAML 2.0 Enterprise SSO
Verbinden Sie Okta, Azure AD und Google Workspace via BoxyHQ Jackson Hub. JIT-Provisionierung inklusive. Kein Enterprise-Tarif erforderlich.
SCIM 2.0 Provisionierung
RFC 7644 konformes automatisiertes Benutzer-Lifecycle-Management. Erstellen, aktualisieren und deaktivieren Sie Benutzer automatisch von Ihrem IdP.
Fail-Closed API Dispatcher
Alle 40+ API-Endpunkte müssen explizit registriert werden. Nicht zugeordnete Routen werden standardmäßig abgelehnt — keine Shadow-API-Schwachstellen.
Selbstheilendes Load Shedding
Bei 90% Heap-Auslastung wird Mutations-Traffic automatisch mit einem komprimierten 503 abgelehnt — Leseverfügbarkeit ist immer geschützt.
Wofür Mitbewerber extra verlangen
Strapi und Payload verlangen Enterprise-Tarife ($10k+/Jahr) für Funktionen, die SveltyCMS kostenlos bietet.
| Feature | SveltyCMS | Strapi | Payload | Directus |
|---|---|---|---|---|
| Krypto-Audit-Logs | ✅ Kostenlos | Enterprise-Plan | Enterprise-Plan | Enterprise-Plan |
| SAML 2.0 SSO | ✅ Kostenlos | Enterprise-Plan | Enterprise-Plan | Enterprise-Plan |
| SCIM 2.0 Provisionierung | ✅ Kostenlos | Enterprise-Plan | ❌ None | ❌ None |
| Field-Level Access Control | ✅ Kostenlos | Enterprise-Plan | Partial | Enterprise-Plan |
Warum das wichtig ist: Die CVE-Bilanz
2026 veröffentlichte Directus mehrere kritische CVEs (Benutzer-Enumeration, GraphQL-DoS). Payload hatte XSS- und SSRF-Schwachstellen. SveltyCMS hat eine Fail-Closed-Architektur, die ganze Klassen von Schwachstellen verhindert.
Directus 2026 CVEs
User-Enumeration, GraphQL-DoS-Angriffe. Im Juni 2026 von BUSL-1.1 auf MSCL-1.0-GPL umlizenziert.
Payload 2026
Laut NVD und GitHub Advisory Database veröffentlichte XSS- und SSRF-Schwachstellen.
SveltyCMS: Fail-Closed-Architektur
Ganze Klassen von Schwachstellen werden durch Design verhindert — nicht reaktiv gepatcht.
Aktive Bedrohungsabwehr (Mai 2026)
SveltyCMS setzt ein mehrschichtiges Verteidigungsgitter ein, das bösartigen Traffic aktiv erkennt, blockiert und vergiftet — nicht nur filtert.
KI-Bot-Fingerprinting
Proaktive Erkennung von 28+ KI-Crawler-Mustern (GPTBot, Claude, Perplexity, CommonCrawl, Bytespider) und Recon-Tools (Nmap, SQLMap, Burp Suite).
Honeypot-Gitter
45+ Köderrouten, die WordPress, Drupal, Joomla und AWS-Metadaten-Endpunkte imitieren. Jede Sonde löst sofortige IP-Sperrung aus.
Progressiver Tarpit
Randomisierte 5–15 Sekunden Antwortverzögerungen verschwenden Bot-Ressourcen. Gefälschte JSON-Payloads vergiften Scraper-Datensätze.
Cross-Origin-Isolation
Alle API-Antworten erzwingen COOP-, COEP- und CORP-Header — verhindert Spectre/Meltdown-Seitenkanalangriffe.
Zero-Bias CSPRNG
Token-Generierung verwendet Rejection Sampling, um ~3,125% Modulo-Bias zu eliminieren und eine gleichmäßige CSPRNG-Verteilung zu garantieren.
TOTP Timing-Attack-Sicher
2FA-Code-Verifikation verwendet `crypto.timingSafeEqual` und neutralisiert mathematisch Seitenkanalangriffe auf Nanosekunden-Ebene.