Source Code Analysis

DeepScan

Ob Malware, Crypto-Algorithmen, Copyrights oder Lizenzen — die Wahrheit liegt im Code. Und genau den untersucht DeepScan. Auf jeder Ebene: als schlankes CLI, komfortables Docker-Image, Managed Service oder auto-skalierter Massen-Repo-Scanner.

Whitepaper lesen → GitHub → Docker Hub →

Auf einen Blick

Post Quantum Security

Identifiziert kryptographische Algorithmen im Quelltext. Erkennen Sie frühzeitig, welche Komponenten für die Migration auf quantensichere Verfahren relevant sind.

Malware-Erkennung

Scannt auf bekannte Schadcode-Muster, Backdoors und verdächtige Konstrukte in Abhängigkeiten und eigenem Code.

Effektive Lizenzen

Ermittelt die tatsächlich geltenden Lizenzen aus dem Quelltext — nicht aus den oft unvollständigen oder falschen Paketmetadaten.

Copyright-Analyse

Extrahiert Copyright-Hinweise und Autorenangaben aus Quelltexten — Grundlage für korrekte Attribution und Compliance-Nachweise.

Exportkontrolle

Erzeugt eine Cryptography Bill of Materials (CBOM) im CycloneDX-Format — Grundlage für EAR/ECCN-Klassifizierung und Exportkontroll-Compliance.

Snippet Detection

Erkennt Copy-Paste-Fragmente und eingebetteten Fremdcode — powered by SCANOSS. Auch wenn nur wenige Zeilen aus einem fremden Projekt übernommen wurden.

Python CLI & Docker

Schlankes Python-CLI für die Analyse an der Command Line. Docker-Image für die nahtlose Integration in Ihre CI/CD-Pipeline.

SBOM Mass-Scanning

Scannt alle transitiven Repositories einer SBOM automatisiert. Skalierbar in Ihrer privaten Cloud — für Portfolios mit tausenden Komponenten.

Die Herausforderung

Paketmetadaten lügen. Eine Komponente deklariert MIT, enthält aber GPL-Code als Copy-Paste-Fragment. Ein Dependency Tree zeigt Apache-2.0, doch im Quelltext steckt ein kryptographischer Algorithmus, der unter Exportkontrolle fällt. Wer nur Metadaten prüft, sieht nur die halbe Wahrheit.

So funktioniert DeepScan

DeepScan lädt den Quelltext herunter und vergleicht ihn Zeile für Zeile gegen eine umfangreiche Referenzdatenbank. Dabei identifiziert der Scanner Lizenzmarker, Copyright-Hinweise, Code-Fragmente aus bekannten Open-Source-Projekten, kryptographische Algorithmen und Schadcode-Muster.

Die Ergebnisse werden als strukturierte Findings an die TrustSource-Plattform übermittelt und dort im Kontext des Projekts ausgewertet: Widerspricht die effektive Lizenz der deklarierten? Gibt es exportkontrollrelevante Algorithmen? Wurden Code-Fragmente ohne korrekte Attribution übernommen?

Einsatzvarianten

CLI: Schnelle Ad-hoc-Analyse einzelner Projekte oder Verzeichnisse. Ideal für Entwickler, die vor dem Commit prüfen wollen.
Docker: Containerisierter Scan als Schritt in Ihrer CI/CD-Pipeline. Keine lokale Installation, reproduzierbare Ergebnisse.
Managed Service: DeepScan als gehostete Instanz in der TrustSource-Plattform. Repository-URL angeben, Scan starten — fertig.
Massen-Scanner: Auto-skalierter Betrieb für Portfolios mit hunderten oder tausenden Repositories. Parallelisierte Analyse mit zentralem Reporting.

Open Source

Der DeepScan-Scanner ist Open Source — Code und Dokumentation:

trustsource / ts-deepscan

Repository scanner for identification of licenses, copyrights and encryption.

Python Apache-2.0

LicensesCopyrightsCrypto / CBOMMalwareSPDXCycloneDX

Auf GitHub ansehen → Zur Dokumentation →

Jetzt kostenlos ausprobieren

Testen Sie DeepScan direkt im Browser — ohne Installation, ohne Account. Geben Sie eine öffentliche Repository-URL ein und wählen Sie, wonach gescannt werden soll: Lizenzen, Copyrights, Crypto-Algorithmen oder Snippets.

DeepScan Free Scanner starten →

Whitepaper: Securing the Foundation

SCA in der C/C++-Welt bleibt eine Herausforderung. Erfahren Sie, wie bimodales Scanning mit DeepScan den Analyseaufwand reduziert und echte Transparenz in der Embedded-Welt schafft.

Whitepaper lesen →