DE/EN Kostenlos testen
SCA

Software Composition Analysis

Wer weiß, woraus seine Software besteht, kennt seine Angriffsfläche. Und nur wer seine Angriffsfläche kennt, kann eine sinnvolle Verteidigung aufbauen. TrustSource liefert die exakte Komponentenliste — automatisiert, vollständig, nachweisbar.

Hören Sie auf zu suchen. Beginnen Sie zu wissen. →
Software Composition Analysis

Auf einen Blick

SBOM-Standards

Volle Unterstützung für CycloneDX und SPDX — interoperabel mit Drittscannern und kompatibel mit allen regulatorischen Anforderungen.

100+ Mio. Komponentenversionen

Unsere Knowledge-Datenbank kennt über 100 Millionen Komponentenversionen und liefert verlässliche, aktuelle Treffer bei jedem Scan.

Open-Source-Tooling

ts-scan steht als quelloffenes CLI-Tool bereit und lässt sich nahtlos in GitHub Actions, GitLab CI und Jenkins integrieren.

Alle gängigen Sprachen

C, C++, C#, Rust, Go, Python, Java, JavaScript, TypeScript und mehr — ts-scan analysiert alle verbreiteten Ökosysteme.

Alle Paketmanager

Maven, NuGet, Gradle, pip, Swift, Debian, APK, RPM und weitere — unabhängig davon, welchen Stack Ihr Team einsetzt.

Container & Dockerfiles

Dockerfiles und Container-Images werden ebenso erfasst wie klassische Quellcode-Abhängigkeiten — vollständige SBOM bis zur Laufzeitebene.

Die Herausforderung

Moderne Softwareprojekte bestehen zu über 80 % aus Drittkomponenten — Open-Source-Bibliotheken, Frameworks, Laufzeitumgebungen. Jede dieser Komponenten kann Schwachstellen enthalten, problematische Lizenzen mitbringen oder mit Schadcode kompromittiert sein. Wer nicht weiß, was in seiner Software steckt, hat keine Chance, das Risiko zu bewerten — geschweige denn, regulatorische Nachweispflichten wie den Cyber Resilience Act zu erfüllen.

So funktioniert SCA mit TrustSource

ts-scan analysiert Lockfiles, Manifeste und Container-Images und erzeugt eine vollständige SBOM nach CycloneDX oder SPDX — direkt im Build-Schritt Ihrer Pipeline. Die Ergebnisse fließen automatisch in die TrustSource-Plattform, wo sie gegen die Knowledge-Datenbank abgeglichen, auf Schwachstellen geprüft und für Audits aufbewahrt werden.

ts-scan ist quelloffen und kostenlos nutzbar: GitHub-Repository · Dokumentation

Tipp: ts-scan als GitHub Action

ts-scan steht als fertige GitHub Action im GitHub Marketplace bereit — SCA direkt in bestehende Workflows integriert, in wenigen Minuten.

Unterstützte Ökosysteme

ts-scan deckt alle verbreiteten Sprachen und Paketmanager ab — von systemnahem C/C++ bis zu modernen TypeScript-Stacks, von klassischen Maven-Projekten bis zu Container-Images.

Verwandte Beiträge

21.05.2026

Warum jedes Software-Team 2026 eine SBOM-Strategie braucht

Der regulatorische Druck durch CRA und NIS2 wächst. Dieser Erfahrungsbericht zeigt, warum das SBOM kein Compliance-Artefakt ist, sondern ein operatives Werkzeug — mit Bezug auf BSI TR 03183.

 09.06.2026

CRA-Vorbereitung: Was Software-Hersteller jetzt tun müssen

Die Pflichten des Cyber Resilience Act rücken näher. Dieser Praxisleitfaden ordnet die CRA-Anforderungen konkreten Maßnahmen zu — SBOM, SCA und Schwachstellen-Meldeprozesse.

 27.02.2026

Securing the foundations

SCA in der C/C++-Welt bleibt eine Herausforderung. Erfahren Sie, wie bimodales Scanning den Analyseaufwand reduziert und echte Transparenz schafft.