SBOM

SBOM Management at Scale

Eine SBOM korrekt zu erstellen ist schon anspruchsvoll. Hunderte davon vollständig, quelltreu und stets aktuell zu halten, erfordert Automatisierung — keine Disziplin.

SBOM-Management kennenlernen →

Auf einen Blick

Zentrales SBOM-Repository

Alle SBOMs aller Projekte an einem Ort — versioniert, durchsuchbar und jederzeit exportierbar.

Release-Tracking

Jede SBOM ist einem konkreten Commit und Release zugeordnet. Vollständige Nachvollziehbarkeit von der Abhängigkeit bis zum Quellcode.

CI/CD-Integration

ts-scan generiert die SBOM direkt im Build-Prozess und überträgt sie automatisch an TrustSource — ohne manuelle Schritte.

Bulk-Scanning

Hunderte Komponenten parallel scannen, Ergebnisse automatisch zusammenführen — vollständige Übersicht auf Knopfdruck.

CycloneDX & SPDX

Export in allen gängigen SBOM-Standards — für Audits, Kunden, Behörden oder die Weitergabe in der Lieferkette.

SBOM-Sharing

SBOMs gezielt mit Kunden oder Partnern teilen — per API, Download oder direktem Portalzugang.

Die Herausforderung

Eine Software Bill of Materials korrekt zu gestalten ist bereits anspruchsvoll: alle Abhängigkeiten vollständig erfassen, korrekte Lizenzdaten, exakte Versionen, Zuordnung zum richtigen Release. Bei einem einzelnen Projekt ist das mit Disziplin erreichbar. Bei hunderten Projekten, parallelen Releases und einem wachsenden Portfolio wird dasselbe Ziel ohne Automatisierung schlicht nicht aufrechtzuerhalten.

Hinzu kommt die Quelltreue: Eine SBOM, die nicht nachvollziehbar auf einen konkreten Commit zurückführt, ist im Ernstfall — bei einem Audit, einer Behördenabfrage oder einer Schwachstellenmeldung — wertlos. Was zählt, ist nicht die einmalig korrekte SBOM, sondern die dauerhaft korrekte, überprüfbare und exportierbare SBOM für jedes Produkt und jeden Release.

TrustSource automatisiert genau das: hunderte SBOMs, parallel, stets bis auf den passenden Commit zurückverfolgbar.

Scanning ganzer Abhängigkeitsbäume

In modernen, package-manager-orientierten Umgebungen kommen selbst bei einfachen Modulen schnell hunderte transitiver Abhängigkeiten zusammen. Nur wer alle durchgesehen hat, kann sicher sein, alle Lizenzinformationen und Schwachstellen erfasst zu haben — keine Stichproben, keine Ausnahmen.

Das TrustSource Bulk-Scanning erlaubt es, automatisiert hunderte von Komponenten in einem Durchlauf zu scannen. ts-scan integriert sich direkt in den Build-Prozess — per CLI, GitHub Action oder CI/CD-Plugin — und überträgt die Ergebnisse vollständig und strukturiert an TrustSource. Kein manuelles Zusammenführen, kein Datenverlust, kein Zeitverzug.

Private Bulk-Scanning im eigenen VPC

Für Organisationen, die aus Datenschutz- oder Sicherheitsgründen keine Dateien an externe Dienste übertragen dürfen, bietet TrustSource eine andere Option: einen vollautomatisierten dateibasierten Scan, der vollständig im eigenen VPC läuft.

Das Prinzip: TrustSource skaliert den Scan-Prozess in das kundeneigene VPC aus. Die zu analysierenden Artefakte verlassen die eigene Infrastruktur nicht — lediglich die Scan-Ergebnisse (Metadaten, SBOMs) werden an TrustSource übertragen. So lässt sich auch für besonders schutzwürdige Build-Artefakte eine vollständige SBOM-Abdeckung erreichen.

Architekturübersicht: TrustSource DeepScan Scale-out ins eigene VPC — TrustSource DeepScan: vollautomatisierter dateibasierter Scan im eigenen VPC