CLI Scanner

ts-scan

Der Open-Source-Scanner für Software Composition Analysis. Ermittelt sämtliche direkten und transitiven Abhängigkeiten aus Ihrem Build-System und erzeugt eine präzise SBOM — automatisiert in Ihrer CI/CD-Pipeline.

Kostenlos testen → GitHub →

Auf einen Blick

20+ Build-Systeme

Maven, Gradle, npm, PyPI, NuGet, Composer, Go Modules, Cargo, CocoaPods und viele mehr.

GitHub Action

Nahtlose Integration in GitHub-Workflows. Eine Zeile YAML genügt.

SPDX & CycloneDX

Standardkonformer Export für den Austausch mit Kunden, Auditoren und Behörden.

Shift Left

Erkennung ungeeigneter oder schadhafter Komponenten bereits zur Build-Zeit — bevor sie in Produktion gelangen.

Open Source

Vollständig quelloffen auf GitHub. Transparenter Code, keine Black Box.

API-First

Ergebnisse fließen über ein dokumentiertes REST-API in die TrustSource-Plattform oder Ihr eigenes Tooling.

Die Herausforderung

Moderne Software besteht zu 80–90 % aus Open-Source-Komponenten. Ohne ein exaktes Inventar wissen Sie nicht, welche Lizenzen gelten, welche Schwachstellen bestehen und ob Ihre Software den regulatorischen Anforderungen genügt.

So funktioniert ts-scan

ts-scan analysiert die nativen Lockfiles und Build-Konfigurationen Ihres Projekts. Es arbeitet mit dem jeweiligen Paketmanager, nicht gegen ihn — das liefert exakte Ergebnisse ohne zusätzliche Konfiguration.

Die erkannten Abhängigkeiten werden als Stückliste (SBOM) an die TrustSource-Plattform übermittelt, wo sie gegen Schwachstellen-Datenbanken, Lizenzrichtlinien und regulatorische Anforderungen geprüft werden.

Installation

pip install ts-scan

Docker-Images und Quellcode-Builds sind im Repository dokumentiert.

trustsource / ts-scan

One scanner integrating several capabilities across different environments.

Python Apache-2.0

PyPIMavenNuGetnpmDockerSPDXCycloneDX

Auf GitHub ansehen → Zur Dokumentation →