Poctivé srovnání

Jmenujeme konkurenci. Něco z ní si rovnou nainstalujte.

Srovnání, ve kterém vendor jen vyhrává, je reklama. Tady stojí, v čem je každý nástroj upřímně lepší než my — a kdy Graneth nepotřebujete vůbec.

Každé tvrzení níže bylo 2026-07-14 ověřeno proti primárním zdrojům — publikovaným balíčkům, dokumentaci a API registrů, ne marketingovým stránkám. Čísla se hýbou; ověřte si je sami.

Odhalit halucinovaný balíček není příkop — umí to dobré nástroje zdarma a každý měsíc přibývají další. Co žádný z nich nevydává, je DŮKAZ: podepsaný, nezávisle ověřitelný záznam, že konkrétní dodávka byla zkontrolována. To prodává Graneth; detekce je ta bezplatná část.

Tyto nástroje hlídají různé brány, takže se s Granethem většinou kombinují, místo aby ho nahradily. Kde některý váš případ pokrývá sám, říkáme to.

Aikido Safe Chain

github.com

Bezplatné open-source obálky instalačních příkazů (npm, yarn, pnpm, pip, uv, poetry): malware a známá škodlivá jména blokuje v okamžiku instalace. Nainstalujte si ho — vážně.

V čem je lepší než my
  • Hlídá samotnou instalaci s malwarovou databází Aikido — bránu nejblíž místu, kde se škodlivý kód spouští
  • Obrovská adopce (~170 tis. stažení týdně) a nulové tření v lidském terminálu
  • Blokuje zbrusu nové balíčky (< 48 h), aniž rozbíjí buildy
V čem se lišíme
  • Obaluje instalační příkaz — závislost, kterou agent zapíše do manifestu a commitne BEZ instalace, jeho branou nikdy neprojde; registry dnes npm + PyPI
  • Žádné skenování secretů, žádný verdikt pro agentní smyčku, žádný doklad pro klienta

Socket MCP (depscore)

github.com

Bezplatný MCP nástroj Socketu skóruje balíčky, na které se agent zeptá: riziko dodavatelského řetězce, kvalita, údržba, zranitelnosti — z jedné z nejhlubších metadatových sad v oboru, přes 8+ ekosystémů.

V čem je lepší než my
  • Výrazně bohatší metadata na balíček než náš rizikový profil — roky výzkumu dodavatelského řetězce
  • Širší pokrytí ekosystémů (Maven, NuGet a další)
V čem se lišíme
  • Agent musí balíčky JMENOVAT — depscore nikdy nevidí váš staged diff, takže halucinovaný import, na který se nikdo nezeptal, projde; žádné secrety, žádný verdikt CLEAR/BLOCKED, žádné podepsané doklady

Široká platforma kvality a bezpečnosti kódu: pokrytí, duplicity, složitost, SAST, IaC — s guardrails v IDE a vrstvou AI governance. Potřebujete-li šířku KVALITY kódu, vezměte ji.

V čem je lepší než my
  • Metriky kvality kódu, které záměrně neděláme (pokrytí, duplicity, složitost)
  • Podpora GitLabu a Bitbucketu; vyzrálá správa organizací
V čem se lišíme
  • Jejich MCP vyžaduje token účtu pro každé volání a bezpečnost závislostí stojí na CVE — třída skenerů strukturálně slepá k balíčku, který nikdy neexistoval; žádné ověření existence v registru, žádné podepsané doklady

SonarQube / Sonar

sonarsource.com

Podnikový standard kvality kódu, zvlášť v DACH. Není to nástroj na dodavatelský řetězec — prostě si nekonkurujeme.

V čem je lepší než my
  • Vše kolem statické kvality kódu v podnikovém měřítku, včetně self-hostingu
V čem se lišíme
  • Žádné pokrytí slopsquattingu/halucinací a žádný doklad k dodávce — provozujte oba; odpovídají na různé otázky
Kdy Graneth nepotřebujete
  • Nikdo po vás nechce DOKAZOVAT péči — žádní enterprise klienti, žádné přenesené povinnosti NIS2/CRA, žádné bezpečnostní dotazníky. Stačí skener: vezměte Safe Chain a bezplatný pre_flight_check si nechte, pokud pomáhá.
  • Nedodáváte AI-generovaný kód. Celá naše detekční vrstva míří na to, co agenti kazí; zbytek pokryjí klasické lintery a CVE skenery.
  • Potřebujete compliance reporty CVE/SCA a SBOM — to je území Snyku/Trivy. My detekujeme, co nikdy neexistovalo; oni auditují, co existuje.
  • Potřebujete metriky kvality kódu — pokrytí, duplicity, složitost. Codacy a Sonar to umí dobře; my záměrně nikdy nebudeme.
Co k dnešku umí jen Graneth
  • Podepsané doklady ke každé dodávce (Ed25519), které si klient ověří proti našemu zveřejněnému klíči — bez důvěry v nás, bez účtu. Žádný z nástrojů výše kryptografický důkaz kontroly nevydává.
  • Brána v okamžiku generování v jednom volání bez účtu: importy I změny manifestů ve staged diffu proti šesti registrům, plus sken hardcodovaných secretů — dřív, než se cokoli commitne nebo nainstaluje.
  • Sdílený threat feed přibalený do bezplatného MCP: známé halucinované jméno zůstává blokované i POTÉ, co si balíček zaregistruje útočník — přesně v okamžiku, kdy každá čistá kontrola existence zmlkne.
  • Produkt v němčině a češtině. Všichni vendoři výše mluví na DACH nákupčí jen anglicky (ověřeno přes hreflang jejich stránek).

Pokud je tu něco špatně nebo zastarale, napište nám: [email protected]. Radši tuhle stránku opravíme, než abyste nás nachytali vy.