Supply Chain

Software Supply Chain Security

Eine Schwachstelle in einer Abhängigkeit zu kennen ist gut. Zu wissen, ob die Abhängigkeit selbst vertrauenswürdig ist, ist besser. TrustSource bewertet das Supply-Chain-Risiko jeder Komponente — mit OpenSSF Scorecards, Viability Scores und proaktiver EOL-Erkennung.

Supply Chain Security kennenlernen →

Auf einen Blick

OpenSSF Scorecards

Scorecard-Informationen zu jeder Komponente — automatisch aus der OpenSSF-Datenbank bezogen oder per eigenem Scan ermittelt.

Eigene Scans

Für Repos ohne automatischen Eintrag: Scorecard-Scan auf Knopfdruck — anwendbar auf jedes öffentlich erreichbare Git-Repository.

Supply Chain Risk Score

Aggregiertes Risiko eines Lösungsmoduls auf Basis aller Abhängigkeiten — mit Benchmark zum Durchschnitt aller TrustSource-Projekte.

Viability Score

Wie aktiv ist das Projekt? Committer-Zahl, letzter Commit, offene Issues — Indikatoren für die langfristige Tragfähigkeit einer Komponente.

Versions- & EOL-Prüfung

Jump Detection gegen Dependency-Confusion-Angriffe, Alterungswarnungen und End-of-Life-Erkennung für ablaufende Komponenten.

Portfolio-Bericht

Übersicht aller Komponenten mit Scores, Verteilung und Ausreißern — kritische Komponenten werden explizit ausgewiesen.

Die Herausforderung

Angreifer zielen heute nicht nur auf Schwachstellen in bekannten Bibliotheken — sie greifen die Lieferkette selbst an. Typosquatting, Dependency Confusion, kompromittierte Maintainer-Accounts: Der SolarWinds-Angriff und die XZ-Utils-Backdoor haben gezeigt, dass selbst vertrauenswürdige Open-Source-Projekte als Einfallstor dienen können. Eine SBOM allein reicht nicht — entscheidend ist, wie vertrauenswürdig jede Komponente im Stack ist.

Was sind OpenSSF Scorecards?

Die OpenSSF Scorecards sind ein Open-Source-Projekt der Open Source Security Foundation. Sie bewerten Open-Source-Projekte anhand von über 20 automatisierten Checks — von Branch-Protection und Code-Reviews über Dependency-Pinning bis zu Vuln-Disclosure- und CI-Best-Practices. Das Ergebnis ist ein Score zwischen 0 und 10, der das Sicherheitsniveau des Projekts auf einen Blick zeigt. Scorecards sind heute de facto Standard für die Bewertung von Open-Source-Sicherheitspraktiken.

So nutzen Sie Scorecards mit TrustSource

Zu jeder Komponente in der TrustSource-Plattform sind Scorecard-Informationen verfügbar — sofern das Projekt bereits von der OpenSSF automatisch gescannt wird. Für Repos ohne vorhandenen Eintrag lässt sich der Scan direkt in TrustSource anstoßen — anwendbar auf jedes öffentlich erreichbare Git-Repository, einschließlich eigener Projekte. So lässt sich das Sicherheitsniveau des eigenen Codes genauso bewerten wie das jeder Drittkomponente.

Der TrustSource Supply Chain Security Report

Der Supply Chain Security Report gibt eine Übersicht aller Komponenten eines Projekts mit ihren Scorecard-Werten, der Score-Verteilung und einem Benchmark zum Durchschnitt aller TrustSource-Projekte. Abweichungen in der Verteilung ermöglichen eine fundierte Einschätzung des relativen Risikos — kritische Komponenten werden explizit ausgewiesen.

Beispiel eines TrustSource Supply Chain Security Reports mit unterdurchschnittlicher Score-Verteilung — Beispiel: Supply Chain Security Report mit unterdurchschnittlicher Sicherheitsverteilung

Weitere Informationen pro Komponente

Viability Score

Wie aktiv wird das Projekt entwickelt?
Wie viele Committer sind aktiv beteiligt?
Wann wurde zuletzt in das Repository committed?
Wie viele offene Issues gibt es?

Ein niedriger Viability Score signalisiert, dass eine Komponente möglicherweise nicht mehr aktiv gepflegt wird — ein frühes Warnsignal, bevor das End-of-Life offiziell kommuniziert wird.

Versions- & EOL-Prüfung

Jump Detection: Erkennung ungewöhnlicher Versionssprünge zum Schutz vor Dependency-Confusion-Angriffen
Alterungswarnungen: Hinweise auf veraltende Komponenten, die noch kein EOL erreicht haben
End-of-Life-Erkennung: Frühzeitige Warnungen für Komponenten, die das Ende ihres Support-Zyklus erreichen