Are you a Developer?
Tired of odd comments from your compliance office?
Keen to understand what you are linking into your project?
Bored of looking up open source details?
Are you a Compliance Manager?
Searching for a way to automate documentation?
Tired of mapping the same tools over and again?
Want to get more support from your organisation?
Version v2.12 mit vielen Neuerungen und Erweiterungen
Risk Management als CRA-Support
Neuer OpenSSF Scorecard Report
CSAF-Dokumente...
Bekannte Schwachstellen
automatisch identifiziert!
Software Composition Analysis (SCA)
TrustSource bietet eine Vielzahl von Scannern für alle gängigen Porogrammiersprachen, die dabei unterstützen, die Zusammensetzung von Software exakt zu ermitteln, bzw. ein Software Bill of Materials (SBOM) zu bestimmen.
Kostenreduktion > Shift Left
TrustSource Werkzeuge erlauben es Entwicklern bereits zur Build-time ungeeignete oder schadhafte Komponenten zu identifizieren. Die frühzeitige Erkennung hilft, Entwicklungskosten zu reduzieren und unnötige Testaufwände zu unterbinden.
TrustSource wurde entwickelt, um Organisationen zu helfen, OpenChain (ISO 5230:2020) Konformität zu erreichen. Das integrierte Rollenmodell und die Vorgaben, machen es ein Leichtes, ISO 5230-Konformität über die gesamte Organisation auszurollen und sicherzustellen.
Lizenzmanagement
TrustSource kennt die Verpflichtungen aller gängigen OpenSource-Lizenzen und kann diese in Abhängigkeit des Projektkontextes auswerten. So entstehen auditierfähige, projektindividuelle Checklisten, und Compliance wird aktiv in Organisation gelebt.
Prozessunterstützung
TrustSource bietet eine integrierte Plattform für die Abwicklung aller Aufgaben im Kontext der Open Source Compliance. Alle Aktivitäten werden in auditierfähig nachgehalten. Direkte Integration mit Jira oder TeamServices ist gegeben.
TrustSource unterstützt das CycloneDX-Format zur Beschreibung von SBOMs. Dieses zunehmend akzeptierte Austauschformat wird von vielen Scannern unterstützt, womit TrustSource auch mit allen Nicht-TrustSource-Scannern zusammenarbeiten kann.
Schwachstellenanalyse
TrustSource prüft stets alle Bestandteile Ihres Projektes gegen mehr als 175.000 bekannte Schwachstellen und informiert Sie über neue Findings. Auch für ältere Lösungen oder Runtime-Komponenten erhalten Sie Alarme. CVSS Scores helfen Ihnen bei der Beurteilung der Risiken.
Open Source & API
Alle Systemteile, die auf Kundenseite laufen oder in Prozesse einzubinden sind, stehen als Open Source zur Verfügung. Die Lösung verfügt über ein umfassendes, gut dokumentiertes API und lässt sich problemlos in CI/CD-Abläufe integrieren.
2021 hat die ISO SPDX zum internationalen Standard für die SBOMs definiert. TrustSource unterstützt den IM- und Export von SPDX formatierten Dateien in v2.2 sowohl als manueller Upload/Export als auch per API in den Dateiformaten RDF und JSON. Somit lassen sich auch Fossology oder andere Open Source Scanner einfach in die TrustSource Compliance-Prozesse einbinden.
Lesen Sie, wie TrustSource Ihnen hilft, Ihre Entwicklung OpenChain-konform auszurichten.
Eine kurze Einführung in TrustSource & OpenChain
(OpenChain Partner Präsentation, August 2022)
Integrationen
Sowohl auf der Scan-Seite gibt es eine Vielzahl von Build-Werkzeugen, für die wir oder unsere Kunden bereits Plugins bereitgestellt haben, als auch für die Organisation des Arbeitsablaufes (Jira, TeamServices, etc.). Suchen Sie auf GitHub nach “org:eacg-gmbh”.
