TrustSource Produkte
Wir haben in den letzten Jahren unzähligen Unternehmen dabei geholfen, ihre Software Build Chain zu optimieren und die Open Source Compliance auf solide Beine zu stellen. Dabei stellt die Software Composition Analysis (SCA) bereits seit langem eine zentrales Anliegen dar. Mit ts-scan haben wir inzwischen einen für mehrere Öco-Systeme geeigneten Scanner entwickelt, der auch hohen Anforderungen an das Scannen der Zusammensetzung von Build-Artefakten gerecht wird.
Er integriert sogar den explizit für die intensiven Anforderungen im Bereich Kryptografie-Analyse, Copyright-Identifikation oder Lizenzerkennung ts-deepscan, welcher für die dateibasierte Analyse geschaffen wurde. Alle Werkzeuge erlauben es, die gefundenen Inhalte in Standard-konformen (CycloneDX, SPDX) Exporten festzuhalten.
Unser ts-legalcheck ist ein Werkzeug, welches es erlaubt, die Lizenz-Situation mit einer beliebigen wirtschaftlichen Situation übereinander zu legen und daraus die Anforderungen für eine rechtlich konforme Dokumentation (Notice File) zu generieren. Alle diese Werkzeuge stehen als Open Source Werkzeuge zur Verfügung. Lesen Sie mehr…
ts-scan
…ist der ultimative Package-Scanner. er passt in jede Build-Pipeline und ist das Schweizer-Messer unter den Scannern. Er wurde explizit für das Design von CI/CD-Pipelines entwickelt, um mit einem Befehlssatz sprachagnostisch agieren zu können. Derzeit sind Python (Pip), C# (nuget), Javascript (NPM und Yarn), Java (Maven) unterstützt. weitere Umgebungen befinden sich in Vorbereitung.
Der Scanner löst im Build-Prozess die transitiven Abhängigkeiten auf und kann die identifizierten Pakete gegen bekannte Quellen für Schwachstellen prüfen. Mit Hilfe dieser Informationen lassen sich CI/CD-Pipelines optimal steuern und fehlerhafte Builds frühzeitig vermeiden.
weiterhin ist der Scanner in der Lage, seine Erkenntnisse in entsprechende Standard-Dokumente (CycloneDX, SPDX) zu exportieren oder an die TrustSource-Plattform für das weitere Management (Freigaben, Lebenszyklus, Schwachstellenverwaltung, etc.) zu übermitteln.
Unterstützung für:
ts-deepscan
Der ultimative Datei-Scanner kann in einem Scan-Vorgang sowohl nach Kryptografie-Algorithmen suchen, als auch Lizenztexte erkennen oder Copyright-Kennzeichnungen sammeln. Auf diese Weise ist es möglich, sämtliche Inputs für die eigene Entwicklung zu prüfen und die erforderlichen Informationen für eine solide Open Source-Dokumentation oder die Exportkontrolle zu ermitteln.
Die Fähigkeit, die Ergebnisse in den gängigen Standards zu exportieren, hilft unabhängig von jeder Hosted Plattform. Sie können sich direkt überzeugen, indem Sie unsere öffentlich zugängliche Version ausprobieren: einfach URL eingeben und Ergebnisse ansehen.
Suchen Sie einen einfachen Weg Software Supply Chain Security in Ihrem Unternehmen zu verankern?
ts-VulnerabilityLake
Die Hauptursache für das Erzeugen der SBOM ist neben der rechtlichen Dokumentation die Möglichkeit, die SBOM automatisiert nach bekannten Schwachstellen prüfen zu können. Wir sammeln Schwachstelleninformationen aus vielen Quellen und stellen diese in unserem VulnerabilityLake zur Verfügung. Hier können Sie die Daten durchsuchen, selbst Matches durchführen, ergänzende Informationen ableiten oder sich nach Security Advisories umsehen.
Den ts-VulnerabilityLake finden Sie in öffentlich zugänglicher Form hier. Stellen Sie sicher, dass Sie auch den Artikel über die besonderen Suchmöglichkeiten lesen, um ihn optimal zu nutzen. Sie können die Daten entweder im Kontext der Anwendung oder via TrustSource API nutzen.
Mit Hilfe des VulnerabilityLakes ist es TrustSource auch problemlos möglich, unterschiedliche Release-Stände aufwandsarm auf neue Schachstellen zu überwachen. TrustSource hält SBOMs der freigegebenen Releases vor, um sie automatisiert mit den neuen, einkommenden Schwachstelleninformationen abzugleichen. So bleiben Ihre Entwicklungsteams stets im Bilde, was sich gerade im Feld tut und wie Sie CRA-konform ihre Kunden informieren können.
Sie wollen wissen, wie Sie die Anforderungen des Cyber Resilience Acts am einfachsten umsetzen können?
TrustSource Software Supply Chain Security Plattform
TrustSource is das Bindeglied zwischen den vielen Komponenten, die für eine Software Supply Chain Security Plattform erforderlich sind. Das Herzstück, welches die SBOMs aufnimmt, die Analysten organisiert und die Verbindung zu den Berichten, Dashboards und Workflows herstellt. Die Benutzerschnittstelle, die aus dem unbekannten, maschinenlesbaren Dateien Aktions-auslösende Erkenntnisse für Normalsterbliche ableitet.
Wir entwickeln TrustSource seit gut 10 Jahren. Es hat sich bewiesen, es eignet sich, um den Anforderungen komplexer Organisationen aber auch kleiner Teams gerecht zu werden. Ein ausgefeiltes Rollenkonzept erlaubt die Verteilung von Verantwortung in komplexen, ggf. auch hierarchischen Strukturen genauso, wie schnelles, agiles Handeln für Power-User in kleinen Teams. Entscheiden Sie, wie mächtig Ihre Benutzer agieren können; wie viel Compliance Sie benötigen.
Generieren Sie Verbindlichkeit durch Management-Overviews, die es auch Top-Managern ermöglichen, mit drei Clicks den Verantwortlichen für eine fehlerhafte Library in einem speziellen Build zu identifizieren. Lesen Sie als Portfolio Verantwortlicher das Supply Chain Risk live aus dem Portfolio anstelle es sich kompliziert berichten zu lassen. Springen Sie als Security Verantwortlicher direkt in die kritischen Komponenten und sehen sich dort die Risiken bzw. die Auswirkungen auf die Threat Models an.
TrustSource können Sie in unterschiedlichen Betriebsmodellen nutzen
Eigenbetrieb
Zum einen besteht die Möglichkeit, alles selbst zu installieren und zu hosten. Für diesen Fall bietet sich das docker-compose aus dem Core-Repository an. Das erzeugt einen Mongo-DB-Container mit einem lokalen Verzeichnis und einen zweiten Container für den Plattform-Kern. Dieser ist dann um die gewünschten Dienste für ScoreCards, Vulnerability Crawler, Component Crawlers, DeepScan, SPDX Im- & Export, CycloneDX Im- and Export, Risk Management, CSAF Communication, etc. zu erweitern
Gemischter Betrieb
Einfach ist es, die Bewegungsdaten und vertiefenden Scans sowie anderer Dienste via API aus unserer Plattform zu beziehen und nur die Status-Daten sowie den Kern lokal zu hosten. Das gibt die Möglichkeit, Herr der Daten zu sein, erfordert jedoch nicht, die ganzen zuführenden Dienste zu organisieren. Das reduziert den Betriebsaufwand auf die korrekte Konfiguration, die Überwachung sowie gelegentliche Updates des Cores. Hierzu bieten wir Transaktionspakete für unser API an.
Managed Service
Dies ist die aufwandsärmste Variante und bietet sich insbesondere für kleinere Organisationen an, die wenig bis kein Personal auf Betrieb, Updates und Management der Lösung verwenden wollen. Aber auch für große Organisationen lohnt es sich, da wir alle Services skalieren: mehrere hundert parallele Requests, SBOMs mit tausenden Komponenten, Shared Clearance Data öffentlicher Komponenten, Verarbeitung Gigabyte-großer Scan-Ergebnisse, Single Sign-on Integration, etc. Das gibt’s hier alles frei Haus
Wenn Sie nicht sicher sind, welches die optimale Form für Sie its, zögern Sie nicht ein kostenfreies Beratungsgespräch mit unseren Experten zu buchen.