Neue Features in TrustSource v2.5

Wir haben wieder einiges in die Feature-Kiste gelegt!

Freuen Sie sich mit uns und probieren Sie es am bensten gleich aus!

New Features:

  • Neue Rolle Portfolio Manager und Portfolio Overview eingeführt:
    Auf Kundenwunsch wurde eine Rolle Portfoli-Manager eingeführt, der stets den Blick auf die Gesamtheit der Themen haben kann. Hierzu wurde eine explizite Portfolio-Übersicht gebaut, die mit es ermöglicht innerhalb von nur drei Klicks aus der Portfolio-Overview kritische Komponenten zu identifizieren.
  • Neue Suchmöglichkeiten für Vulnerability Lake:
    Es ist nun auch möglich nach CPEs oder Komponentenbezeichnern zu suchen und bei Eignung diese zu abonnieren. Somit lassen sich unterschiedliche Bezeichnungen oder Quellen einfach verfolgen.
  • Möglichkeit, Vulnerability-Beschreibungen direkt  anzeigen zu lassen (Get Details):
    Erlaubt es, die Beschreibung einer Vulnerability direkt anzuzeigen, um nicht den Screen wechseln zu müssen. Somit lassen sich Entscheidungen direkt im Kontext treffen.
  • Vulnerabilities für Infrastruktur-Komponenten:
    Mit Hilfe des Vulnerability-Lakes ist es nun auch besser möglich, die Bekannten Schwachstellen für die Infrastruktur-Komponenten besser aufzulösen und in der Anwendung detailliert darzustellen.
  • Automatisches Beheben der Legal Todos mit Hilfe des Notice File
    Es gibt nun die Möglichkeit den Notice-File auch ohne Approval als vorab-Version zu erzeugen. Alle Obligations, die mit dem Notice-File erschlagen werden, setzt TrustSource nun automatisch auf „erledigt“ und verweist auf den Notice File. Das erspart sehr viel Pflegearbeit.
  • Interoperabilität: Suppport für alle CycloneDX SBOMs
    Wir haben CycloneDX aufgenommen. Sowohl in den Core für manuelle Uploads von Modulen oder 3rd-Party-Software, als auch via API. Somit ist nun neben SPDX auch CycloneDX vollumfänglich über beide Kanäle möglich, was die Integration mit fast allen Scannern ermöglicht. In dem Zuge wurde auch ein Import API für SPDX (v2.2+) erzeugt.
  • Darstellung der Abhängigkeiten mit Hilfe eines SunBurst-Diagrams für mehr Übersichtlichkeit.
  • CMake-Integration: Mit Hilfe dieses neuen Scanners lassen sich auch C-Make gebaute Projekte problemlos scannen und and die Plattform für die weitere Analyse übertragen.

Improvements:

  • Attack-Vector-Repräsentation wurde entzerrt und leserlicher gestaltet
  • Seit der Hinzunahme zusätzlicher Quellen war der Deep-Link zur NVD unpraktikabel. wir haben daher eine interne Repräsentation bereitgestellt. Diese wird sich in den kommenden Wochen auch noch ein paar Mal leicht verändern.
  • Ladezeiten größerer Scans optimiert und verkürzt
  • Vulnerability Alert Mails enthalten nun passende Deep-Links, damit die neuen Informationen direkt angesprungen werden können.
  • Interne Optimierungen im Bereich des Vulnerability-Assignments.
  • Änderungen in den Rahmenbedingungen wirken nicht mehr nur noch auf die Analyse und die Ergebnisse, auch der Notice File wird nun angepasst.
  • Neues Intro für neue Benutzer.
  • Verbesserungen für die Verwaltung von Komponenten (Component Manager)
  • ts-node-client updated, um mit neueren Node-Versionen arbeiten zu können.
  • Tagging Capabilities verbessert, insbesondere für Komponenten, Projekte und Module, um ein das Filtern zu vereinfachen.
  • Verbesserte Sortierungsmöglichkeiten in der CompDB
  • Chronik der Legal Settings hinzugefügt. Somit lassen sich auch ältere Zustände wieder zurückholen.

by Jan Thielscher

DeepScan - Effektive Lizenzen einfach identifizieren

TrustSource DeepScan - CLI, web-basiert oder als Teil von TrustSource

DeepScan – effektive Lizenzen einfach identifizieren: DeepScan ist ein Open-Source-Tool, das Ihnen hilft, Open Source Compliance zu erzeugen. Sie können DeepScan verwenden, um die Repositories Ihrer Lösung oder der Komponenten, die Sie anwenden, zu scannen. Es wird alle Lizenz- und – falls gewünscht – Copyright-Informationen identifizieren. Dies ist relevant, um sicherzustellen, dass Sie die Rechte und Pflichten, die mit den von Ihnen verwendeten Open-Source-Komponenten verbunden sind, hinreichend  erfüllen können.

DeepScan ist in drei Geschmacksrichtungen verfügbar:

Die CLI-Version ist zwar voll funktionsfähig, erfordert aber, dass der Benutzer die Ergebnisdatei selbst auswertet. Die CLI-Version kann ihre Ergebnisse entweder via Standardausgabe oder in einer Datei mit JSON veröffentlichen. Die webbasierte Benutzeroberfläche bietet eine komfortable Möglichkeit, die Ergebnisse zu betrachten und mit ihnen zu arbeiten. Die in TrustSource integrierte Lösung ermöglicht es Ihnen, die Befunde zu ändern und Ihre Daten mit anderen zu teilen.

Warum ist die effektive Lizenz so wichtig?

Jeder, der Software entwickelt, sollte aus zwei Gründen ein Verständnis für die Komponenten haben, die er für seine Lösung einsetzt:

  1. Rechtlicher Rahmen
  2. Sicherheit

Rechtlichen Rahmen kennen

Aus rechtlicher Sicht ist es wichtig zu verstehen, woraus Ihre Lösung besteht. Open Source bedeutet nicht, dass alles frei verfügbar ist. Freien Zugang alleine heißt nicht, dass man frei von Verpflichtungen ist. Oft sind Open-Source-Komponenten mit einer Lizenz versehen, die vom Anwender die Einhaltung bestimmter Verpflichtungen erfordert. In vielen Fällen ist das Nutzungsrecht an die Einhaltung dieser Pflichten gebunden, z.B. an die Nennung des Urhebers.

Auszug Apache 2.0

4. Redistribution. You may reproduce and distribute copies of the Work or Derivative Works thereof in any medium, with or without modifications, and in Source or Object form, provided that You meet the following conditions:

(a) You must give any other recipients of the Work or Derivative Works a copy of this License; and

(b) You must cause any modified files to carry prominent notices stating that You changed the files; and

(c) You must retain, in the Source form of any Derivative Works that You distribute, all copyright, patent, trademark, and attribution notices ...

Theoretisch kann jede Komponente ihre eigene Lizenz haben. In der Praxis zeigt sich, dass es ca. 400 Lizenzen und unzählige Derivate gibt, die die Nutzung von Open Source regeln. Manche sind mehr, manche sind weniger restriktiv. Wenn Sie sich jedoch nicht um die Rechte und Pflichten kümmern, die mit den von Ihnen verwendeten Komponenten verbunden sind, rutschen Sie schnell aus der Rechtskonformität. Im schlimmsten Fall können die Strafverfolgungsbehörden die Geschäftsleitung von Unternehmen, die solchen Risiken nicht wirksam vorbeugen, wegen gewerbsmäßigen Betrugs anklagen.

DeepScan hilft dabei, Repositories auf Lizenzindikationen zu untersuchen und alle Ergebnisse auf komfortable Art und Weise offenzulegen. Zusammengefasst in einem Ergebnis, mit Links in die Tiefe des Repositories, die eine schnelle Nachverfolgung und Überprüfung ermöglichen.

Probieren Sie es aus!

Keine Installation oder Registrierung erforderlich…  

Starten Sie sofort! Es kostet nichts...

Wissen was drin ist, hilft die Sicherheit zu verbessern

Der zweite Grund, warum Sie die Komponenten in Ihrer Lösung besser kennen sollten, ist, um frühzeitig von Problemen zu erfahren, die mit solchen Komponenten verbunden sind. Wenn Sie die Strukturen Ihrer Lösung regelmäßig mit TrustSource scannen lassen, sind alle Versionen chronologisch verfügbar. TrustSource prüft NVD und andere Schwachstellen-Quellen auf Updates und vergleicht die eingehenden Daten mit den Informationen zu den Komponenten. Wenn Sie eine verwundbare Komponente verwenden – oder verwendet haben, erhalten Sie eine Benachrichtigung.

Dies verschafft Ihnen einen Vorteil gegenüber potentiellen Angreifern und sichert Ihre Entwicklung. Sie können Ihre Kunden, die noch verwundbare Versionen verwenden, sofort informieren und ihnen helfen, den Missbrauch der Schadstellen zu verhindern sowie mit der Arbeit an Fixes beginnen, bevor ihre Lösung attackiert wird.

Es gibt also viele Gründe, warum Sie wissen sollten, was sich in Ihrem Code befindet….

Um mehr über die verschiedenen DeepScan-Lösungen zu erfahren, die wir anbieten, sehen Sie sich dieses kurze Einführungsvideo an. Dieser Vortrag (englische Sprache) wird auf der FOSDEM 21 im Software Composition Analysis DevRoom gehalten.

by Jan Thielscher

TrustSource v1.4 released

Wir freuen uns, die Verfügbarkeit der Version v1.4 anzukündigen!

Endlich ist es soweit. Nach viel Arbeit, Schweiß und Tests haben wir die v1.4 released. Es sind eine Vielzahl von Neuerungen dabei, die die Arbeit mit TrustSource erheblich effizienter machen werden:

  • Eine Inbox nimmt zukünftig alle Kommunikation auf, damit nichts mehr verloren geht.
  • Vulnerability-Feeds ermöglichen das frühzeitge Erkennen von möglichen Porblemen
  • CVS-Scores und Angriffsvektoren helfen bei der Einschätzung der Kritikalität identifizierter Schwachstellen.
  • Erweiterte Verpflichtungsanalyse - Es ist jetzt möglich, direkt von dem Obligation-Report auf die verursachenden Komponenten zu springen. Zudem kann der Bericht auch direkt aus der Modulansicht heraus aufgerufen werden.
  • Eignungsprüfung - Um den SHIFT-LEFT-Effekt weiter zu unterstützen, haben wir ein Test-Feature für noch nicht verbaute Lizenzen und/oder Komponenten eingeführt. Damit können Entwickler bereits _vor_ Einsatz einer Komponente die Auswirkungen projekt- und modulspezifisch prüfen. Die Funktionen werden auch im API bereitgestellt.
  • Private Lizenzen - Es ist nun möglich, eigene Lizenzschlüssel anzulegen, um eigene Lizenzen nicht mehr zwingend als commercial klassifizieren zu müssen.

Zudem wurden einige Verbesserungen und Fixes durchgeführt. unter anderem wurde ein Matching-Problem im Vulnerability Scanner behoben.

Weitere Informationen und Details zu dem Release finden sich auch hier.

by Jan Thielscher

OpenChain Spezifikation v1.2 verfügbar

Heute hat das OpenChain-Projekt die Spezifikation in der Version 1.2 veröffentlicht. Die Spezifikation kann hier in der englischen Version heruntergeladen werden. Die begleitende Information zum Release der Spezifikation findet sich hier.

Was ist OpenChain?

OpenChain ist ein Projekt der Linux Foundation, das sich zum Ziel gesetzt hat, das Vertrauen in die Nutzung von Open Source, insbesondere entlang der Wertschöpfungskette in der Software-Industrie zu erhöhen.

Wie wird das erricht?

Um dieses hochgesteckte Ziel zu erreichen, hat sich ein internationales Gremium aus Spezialisten gebildet, welches mit der OpenChain-Spezifikation einen Rahmen geschaffen hat, der Mindestanforderungen an betriebliche Abläufe und Dokumentation stellt. Damit soll in erster Linie ein bewusster Umgang mit Open Source im Unternehmen gewährleistet werden. Es besteht die Möglichkeit, seine Organisation im Zuge eines Self-Assessment gegen die OpenChain-Spezifkation zu prüfen bzw. zu zertfizieren. Zertfiizierte Unternehmen, sollten somit einem einheitlichen Standard im Umgang (EInkauf, Verarbeitung, Auslieferung) von Open Sourc eunterliegen.

Was sind die Limitierungen?

Die Spezifikation stellt Anforderungen an Prozesse und bietet somit einen Rahmen für die Organisationsgestaltung. Sie macht keine Vorgaben bzgl. spezifischer Dokumente oder der einzlener Artefakte, die zu erezeugen sind, um eine hinreichende Dokumentation zu erzeugen.

Wenn Sie mehr zu OpenChain erfahren wollen oder Hilfe bei dem Self-Assessment suchen, kontaktieren Sie uns!

Jetzt kontaktieren

by Jan Thielscher

1.11.17 Übernahme der VersionEye Geschäftskunden

Version Eye streckt die Flügel

Es ist immer schade, wenn ein angesehener Mitstreiter den Markt verlässt. Robert hat mit Version Eye das Thema Versionierung von Open Source Bibliotheken seit 2011 besetzt. Er hat eine große Community aufgebaut und – wie auch in seinem Blog beschrieben – einige Unternehmenskunden gewinnen können. Eine beachtliche und starke Leistung für eine Einzelperson bzw. sein kleines Team.

Zwar hat er in den letzten Jahren vermehrt auch in den Bereich Lizenzprüfung investiert, jedoch hat er mit seinen Kunden scheinbar keinen Weg gefunden, die Sache wirtschaftlich erfolgreich zu gestalten.

Was tun?

Was nun aber tun? Angenommen, die Prozesse sind auf Version Eye eingespielt, jedoch ist ab November, bzw. spätestens Ende Dezember nicht mehr mit der Fortführung zu rechnen.

Wir bieten interessierten Kunden an, für sie die Version Eye-Crawler nach Absprache für einige Monate in unserem Frankfurter Rechenzentrum weiterzubetreiben. Nach Rücksprache mit Robert lässt sich das einfach arrangieren, ohne dass auf Kundenseite viel zu tun ist. In dieser Zeit unterstützen wir Sie auch gerne dabei, einen neuen, für Ihren Bedarf geeigneten Weg zu identifizieren. Gerne stellen wir Ihnen auch unsere Open Source Compliance-Lösung TrustSource vor.

TrustSource fokussiert License-Compliance. Neben den OS-Komponenten lassen sich auch Infrastrukturkomponenten (DBs, MQs, etc.) verwalten, Releases einfrieren und Freigabeprozesse auditfähig dokumentieren. Zudem verfügt ECS über eine Logik, die es ermöglicht, die Eignung von Lizenzen auf einen Awnendungskontext zu prüfen und die resultierenden Anforderungen in Form eines Obligations-Reports abzufragen. SPDX Export und Bill of Materials APIs unterstützen die erforderliche Dokumentation.

Sprechen Sie uns an. Wir helfen Ihnen, die richtigen Schritte zu identifizieren!

Kontakt aufnehmen

by Jan Thielscher