Are you a Developer?
Tired of odd comments from your compliance office?
Keen to understand what you are linking into your project?
Bored of looking up open source details?
Are you a Compliance Manager?
Searching for a way to automate documentation?
Tired of mapping the same tools over and again?
Want to get more support from your organisation?
Version v2.12 mit vielen Neuerungen und Erweiterungen
Risk Management als CRA-Support
Neuer OpenSSF Scorecard Report
CSAF-Dokumente...
Bekannte Schwachstellen
automatisch identifiziert!
Hören Sie, wie TrustSource hilft, die Herausforderungen im SBOM Management
sowie Open Source Security und Compliance zu meistern
So einfach wird das Ganze, wenn Sie TrustSource nutzen:
Software Composition Analysis
Um den maximalen Effekt zu erzielen, scannen Sie Ihre Software während der Aufbauzeit und identifizieren Sie alle enthaltenen Open-Source-Komponenten. TrustSource stellt hierfür eine Vielzahl kostenloser Scanner als Open Source zur Verfügung. Außerdem kann TrustSource mit den meisten Open-Source-Scanning-Tools von Drittanbietern interagieren.
SBOM anreichern
Unsere Plattform vergleicht vollautomatisch Ihre SBOM-Daten mit einem umfangreichen Wissensbestand zu über 200 Millionen Open-Source-Komponenten, Freigabeinformationen und bekannten Schwachstellen. Mit nur einem Klick analysiert TrustSource Komponenten und deren Abhängigkeiten auf Dateiebene – und liefert Ihnen präzise Informationen zu verwendeten Lizenzen, Urheberrechten oder eingesetzten Verschlüsselungsverfahren. So schaffen Sie schnell Klarheit und steigern Ihre Compliance-Effizienz.
Rechtliche Bewertung
Anhand aller gesammelten Informationen und der Anforderungen Ihres Projekts bzw. Ihrer Lösung prüft das juristische Analysetool automatisch alle erkannten Lizenzen, leitet daraus Rechte und Pflichten ab und identifiziert mögliche Verstöße. Hinweise zur Behebung und Lösung werden ebenfalls bereitgestellt.
Erfüllen von Pflichten und Korrekturen
Dank Integrationen mit GitHub Issues, Jira oder Azure DevOps lassen sich To-dos ganz einfach nachverfolgen – so behalten Sie den Überblick über Fortschritte bei Änderungen, Upgrades oder der Sammlung weiterer Informationen. Entscheidungen zur Risikoakzeptanz oder zwischen Alternativen können dokumentiert werden, um sie später nachvollziehen und bewerten zu können.
Genehmigen und Freigeben
Wenn alles passt und die Signale auf Grün stehen, kann die Lösung genutzt werden. Der Entscheidungsstand wird eingefroren und für spätere Auswertungen dokumentiert – inklusive der Bedingungen, unter denen die Freigabe erfolgt ist. So entsteht transparente Nachvollziehbarkeit – einfach und effektiv.
Dokumentation erstellen
Zum Abschluss wird dokumentiert, was umgesetzt wurde. TrustSource kann die erforderliche rechtliche Dokumentation – wie Notice-Files oder SOUP-Listen – automatisch generieren. Ein ToDo-Navigator hilft gezielt dabei, fehlende Angaben zu ergänzen. Die fertige Dokumentation lässt sich herunterladen oder online teilen. QR-Codes ermöglichen den Zugriff sogar auf Geräten ohne Monitor.
Das ist längst nicht alles:
Portfolio-Übersicht (behalten Sie den Überblick und analysieren Sie gezielt Themen bis in die Tiefe),
Schwachstellenwarnungen über den gesamten Produkt-Lebenszyklus hinweg,
Kontrolle und Unterstützung bei den Downloads …
Erfahren Sie mehr!
Welche Fähigkeiten sollte eine hochmoderne Open-Source-Sicherheits- und Compliance-Lösung abdecken?
Voraussetzung für alle weiteren Schritte ist es, zu wissen, womit man es zu tun hat. SCA bewertet die betreffende Software. Dies sollte Eigenentwicklungen, bereitgestellte Open-Source-Komponenten, Docker-Dateien und Drittanbieter-Software (z. B. Binärdateien) umfassen.
Was auch immer Sie vorfinden – Sie müssen es dokumentieren. Zwei Standards zum Austausch solcher Informationen haben sich etabliert: Software Package Data Exchange (SPDX), ein von einer Arbeitsgruppe der Linux Foundation entwickelter ISO-Standard, sowie CycloneDX, eine von OWASP geführte Initiative, die einen schlankeren Ansatz zur Beschreibung von Software-Metadaten verfolgt.
Ihre von Ihnen eingesetzte Lösung sollte in der Lage sein, solche Dateien zu importieren, auszulesen und darzustellen – ebenso wie Ihre aufbereiteten Daten entsprechend zu exportieren.
Es ist absolut entscheidend, die mit den Lizenzen laut SBOM verbundenen Rechte und Pflichten zu ermitteln. Dies darf nicht nur allgemein, sondern muss im konkreten Nutzungskontext erfolgen. Abhängig vom Geschäftsmodell oder geänderten Anforderungen an geistiges Eigentum können sich für dieselbe Lösung unterschiedliche Verpflichtungen ergeben. Diese sollten von der juristischen Logik erkannt und aufgelöst werden, die der Lösung zugrunde liegt.
Für alle verwendeten Open-Source-Komponenten sollte es möglich sein, bekannte Schwachstellen zuzuordnen – unabhängig davon, ob sie sich noch in der Entwicklung befinden oder bereits im Einsatz sind. Besonders bei älteren Versionen wird es zur Herausforderung, unterschiedliche Versionen über den gesamten Lebenszyklus hinweg zu verwalten und zu pflegen. TrustSource unterstützt Sie dabei und hilft nicht nur beim Management von Schwachstellenwarnungen für ältere SBOMs, sondern ermöglicht auch die Verwaltung von VEX- und CSAF-Dokumenten.
Um eine reibungslose Bearbeitung in arbeitsteilig organisierten Unternehmen sicherzustellen, ist die Automatisierung von Freigabeprozessen mit Workflow-Unterstützung eine grundlegende Voraussetzung. Auf der einen Seite stehen Zeitdruck und Lieferverpflichtungen, auf der anderen der Anspruch auf Genauigkeit – beides sind konkurrierende Interessen, die nicht von einer einzelnen Person aufzulösen sind. Zudem unterscheiden sich fachliche Entwicklungskompetenz und die Fähigkeit, rechtliche oder sicherheitsrelevante Bewertungen vorzunehmen, grundlegend. Freigabeprozesse und eine klare Aufgabenverteilung sollten daher systemisch unterstützt werden, um den langfristigen Erfolg Ihrer Lösung zu gewährleisten.
Um Arbeit abzusichern und Verantwortlichkeiten klar zuzuordnen, ist ein übergreifendes Benutzer- und Rollenmanagement unerlässlich. Nicht jeder in der Organisation sollte alles sehen dürfen – und ebenso wenig sollte jeder Freigaben erteilen können. Werden Berechtigungen vergeben, müssen diese nachvollziehbar sein. Ohne persönliche Verantwortlichkeit wird Ihr Compliance-Ansatz scheitern.
Ziel ist letztlich die Erstellung einer vollständigen und korrekten Notice-Datei. Dieser Prozess sollte unterstützt und – soweit möglich – automatisiert werden, um nicht die Zeit Ihrer Entwickler zu rauben. Checklisten zur Finalisierung der Notice-Datei sollten bereitgestellt werden, um eine ordnungsgemäße Auslieferung sicherzustellen. Darüber hinaus dürfen ein gutes Versionsmanagement sowie Unterstützung bei der Veröffentlichung – auch für Systeme ohne Benutzeroberfläche – nicht fehlen.
Heutige Umgebungen sind stark integriert. Daher ist es ein Schlüsselmerkmal, so viele Funktionen wie möglich über APIs bereitzustellen. Der Scan- und Freigabeprozess könnte in andere Tools und Lösungen Ihres DevOps-Zyklus integriert werden. Ein solides und sicheres API-Management ist entscheidend, um Ihre Software-Lieferkette vor schädlichen Akteuren zu schützen, die versuchen könnten, sie zu manipulieren.
Die TrustSource Plattform bietet alle Funktionen – ohne jeglichen Einrichtungsaufwand
Erfahren Sie mehr über die Plattform und die zugrunde liegenden Konzepte in diesem Vortrag eines OpenChain-Partners…
Kompositionsanalyse
Bewerten Sie Repositories, Abhängigkeiten oder Docker-Dateien, um die Zusammensetzung Ihrer Software zu verstehen und Ihre SBOM zu erstellen.
Arbeitsablauf
Delegieren Sie Aufgaben und Fehlerbehebungsanfragen direkt in die Workflows Ihres Teams, und dokumentieren Sie Entscheidungen und Umstände für die Prüfung.
Rechtliche Bewertung
Bewerten Sie identifizierte Software nach Metadaten und Fakten, leiten Sie rechtliche Konsequenzen, Schutz- und andere geistige Eigentumsrechte ab.
Freigaben genehmigen
Genehmigen Sie auf Basis fundierter Berichte und aktueller Analysen. Seien Sie sicher, alle relevanten Aspekte berücksichtigt zu haben.
Absicherung
Erhalten Sie Benachrichtigungen über bekannte Schwachstellen oder aktiv ausgenutzte Sicherheitslücken (CISA) und sehen Sie den aktuellen Status in Ihrem gesamten Portfolio.
Dokumente generieren
Automatisch generierte Dokumentation, sei es eine SOUP-Liste, Krypto-Algorithmen oder Notice-Dateien – erhalten Sie volle Unterstützung und Automatisierung bei der Fertigstellung Ihrer Unterlagen.
Möchten Sie mehr darüber erfahren, wie Sie ein OSPO einrichten oder Ihr Open-Source-Compliance-Programm aufbauen?
Es ist einfacher, als Sie denken. Folgen Sie unserer 5-Schritte-Anleitung und werden Sie innerhalb weniger Tage regelkonform. Warum warten?
Frequently asked questions
TrustSource bietet alle Tools und Services als Open Source für Ihre eigene Anwendung. Eine integrierte und vollständig verwaltete Version ist im Abonnement-Modell verfügbar. Zusätzlich können Sie Ihre Open Source-Programm-Verwaltung auslagern, was mit zusätzlichen Kosten verbunden ist. Kontaktieren Sie unser Vertriebsteam für ein Angebot.
Mit dem Abonnement des verwalteten Dienstes erhalten Sie auch Zugang zum Support und allen Arten von Updates. Wir bieten hier verschiedene Optionen an: eine Teams-, eine Unternehmens- und eine Konzern-Lösung. Die Teams-Lösung ist für Open-Source-Projekte kostenlos verfügbar. Alle Optionen bieten die Kernfunktionen, die für moderne Open-Source-Compliance erforderlich sind. Die Unternehmens- und Konzern-Versionen bieten außerdem Dienste zum Management von SBOMs im großen Maßstab, zur Verwaltung von Benutzerzugriffen über Active Directory oder zur Bereitstellung zusätzlicher Portfolio-Management-Funktionen.
Neben diesen Optionen gibt es eine nutzungsbasierte Komponente. TrustSource ist darauf ausgelegt, Automatisierung zu ermöglichen, und bietet daher eine umfassende API. Jede Abonnement-Option enthält eine bestimmte Anzahl von Transaktionen pro Monat. Zusätzliche Transaktionspakete können nach Bedarf gekauft werden. Die Preisgestaltung hängt von der gewählten Abonnement-Option ab.
Die meisten der Werkzeuge und Lösungen der TrustSource Plattform stehen der Öffentlichkeit als Open Source zur Verfügung. Sie können diese also eigenständig nutzen und verwalten.
Der entscheidende Vorteil eines Abonnements liegt jedoch in der Integration durch die zentrale Managementlösung sowie in der betreuten Verwaltung. Die Einhaltung von Compliance-Vorgaben im großen Maßstab erfordert eine gewisse Koordination und Transparenz – TrustSource bietet all das in einer einzigen, umfassenden Dienstleistung. Sie abonnieren und legen direkt los: keine Installation, kein Setup – einfach anwenden.
Zusätzlich erhalten Sie Zugriff auf ein erfahrenes Support-Team, das Sie bei der Lösung potenzieller Hürden und Probleme oder komplexer Fragestellungen unterstützt. Außerdem bieten wir Online-Schulungen an, mit denen Sie Ihre Entwicklerteams weiterbilden und das Bewusstsein für das Thema in Ihrer gesamten Organisation stärken können. Es besteht sogar die Möglichkeit, eigene Schulungsvideos zu integrieren, um individuelle Richtlinien zu vermitteln. Kontaktieren Sie uns einfach, um ein Gespräch zu vereinbaren.
Sicher! Einfach registrieren und direkt loslegen – die ersten 4 Wochen gelten immer als Testphase und sind kostenlos. Alternativ können Sie auch unser Vertriebsteam kontaktieren, das gerne eine Testphase für Sie einrichtet. Abhängig von Ihren Zielen und der Größe Ihrer Organisation unterstützt Sie unser Team dabei, die passenden nächsten Schritte oder ein geeignetes Testkonzept zu ermitteln.
Gerade weil zum Durchlaufen der Workflow-Tests unterschiedliche Rollen erforderlich sind, ist ein Test-Setup nicht immer trivial. Daher empfehlen wir, zusammen mit uns gemeinsam den besten Ansatz für Ihre Anforderungen zu definieren.
Die Nutzung von TrustSource ist mit nur geringem Risiko verbunden. Es wird niemals Quellcode an TrustSource übertragen.
Unsere Scanner sind vollständig Open Source – Sie können also genau nachvollziehen, was sie tun und welche Daten sie übertragen.
Der TrustSource-Dienst schützt Ihre Daten durch MFA-gesicherten Zugriff, Verschlüsselung ruhender Daten, kontinuierliche Überwachung der Anwendung sowie abgesicherte APIs.
Für einen tieferen Einblick empfehlen wir unser Shared Security Responsibility Model (SSRM). Dort erläutern wir sowohl die Aufteilung der Verantwortlichkeiten als auch unsere Sicherheitsmaßnahmen.