Are you a Developer?
Tired of odd comments from your compliance office?
Keen to understand what you are linking into your project?
Bored of looking up open source details?
Are you a Compliance Manager?
Searching for a way to automate documentation?
Tired of mapping the same tools over and again?
Want to get more support from your organisation?
Version v2.12 mit vielen Neuerungen und Erweiterungen
Risk Management als CRA-Support
Neuer OpenSSF Scorecard Report
CSAF-Dokumente...
Bekannte Schwachstellen
automatisch identifiziert!
Hören Sie, wie TrustSource hilft, die Herausforderungen im SBOM Management
sowie Open Source Security und Compliance zu meistern
So einfach wird das Ganze, wenn Sie TrustSource nutzen:
Software Composition Analysis
Um den maximale Effekt zu erzielen, sollten Sie Ihre Software bereits während der Entwicklung stetig scannen und alle enthaltenen Open-Source-Komponenten identifizieren. Dafür bietet TrustSource eine Fülle von kostenlosen und quelloffenen Scannern. Wir sind auch in der Lage, mit den meisten Open-Source-Scan-Tools von Drittanbietern zu interagieren.
Anreichern der SBOMs
Vollautomatisch vergleicht unsere Plattform die gescannten SBOM-Informationen mit dem vorhandenen Wissen über mehr als 200 Mio. Komponenten, bestehenden Clearing-Informationen und bekannten Schwachstellen. Mit einem Mausklick bewertet TrustSource automatisch Komponenten und ihre Abhängigkeiten auf Dateiebene, um tatsächliche Lizenzen, Copyright-Inhaber oder eingesetzte Verschlüsselungsalgorithmen zu ermitteln.
Rechtliche Situation prüfen
Auf der Grundlage all dieser gesammelten Informationen und Ihrer Projekt-/Lösungsanforderungen bewertet der Legal Solver automatisch alle identifizierten Lizenzen, um Rechte und Pflichten abzuleiten und mögliche Verstöße zu ermitteln. Es werden auch Hinweise zur Lösung identifizierter Probleme gegeben.
Beseitigen der Mängel
Integrationen mit Github Issues, Jira oder Azure DevOps ermöglichen eine einfache Nachverfolgung identifizierter Aufgaben, sodass Sie den Fortschritt bei Änderungen, Upgrades oder der Sammlung weiterer Informationen leicht verfolgen können. Entscheidungen zur Risikoakzeptanz oder zwischen Alternativen können für spätere Bewertungen und Verantwortlichkeiten aufgezeichnet werden.
Freigabe und Releases
Wenn alle Signale auf „Grün“ stehen, können Sie die Lösung ins Feld geben. TrustSource hält für Sie automatisch alle Entscheidungen für spätere Bewertungen fest. Auch Genehmigungen werden aufgezeichnet. Aber nicht nur die Entscheidungen selbst, auch die Bedingungen, unter denen die Entscheidung getroffen wurde, sind Teil des Protokolls. Einfacher kann man Transparenz nicht herstellen.
Dokumentation erzeugen
TrustSource ist in der Lage, die erforderliche rechtliche Dokumentation wie z.B. Notice-Files oder SOUP-Listen automatisch zu generieren. Ein ToDo-Navigator hilft Ihnen, die Dokumentation dort zu vervollständigen, wo es noch manueller Eingriffe bedarf. Die Dokumentation kann heruntergeladen oder online geteilt werden. QR-Codes ermöglichen es sogar, die Dokumentation für Geräte ohne Bildschirm zu referenzieren.
Das ist aber lange noch nicht alles: Die Portfolio-Übersicht hilft, den Stand aller Projekte zu erkennen, die Lebenszyklus-Überwachung meldet neue, bekannte Schwachstellen auch für alte Versionen, Unterstützung der Export-Kontroll-Feststellung… Erfahren Sie mehr!
Welche Fähigkeiten sollte eine moderne Open Source Security und Compliance Lösung abdecken?
Voraussetzung für die Lösung aller Aufgaben ist, die Inhalte der Software genau zu kennen. Software conposition Analysis (SCA) prüft die betreffende Software auf ihre Bestandteile. Dies umfasst selbst entwickelte Codes, open source Komponenten, Docker-Dateien und Quellen von Drittanbietern, wie z. B. Binärdateien.
Was auch immer Sie dabei finden, Sie müssen es festhalten. Es haben sich zwei Standards für den Austausch solcher Informationen herausgebildet: Software Package Data Exchange (SPDX), ein ISO-Standard, der von einer Arbeitsgruppe der Linux Foundation entwickelt wurde, und Cyclone DX, eine von OWASP geleitete Initiative mit einem etwas leichtgewichtigeren Ansatz zur Beschreibung von Software-Metadaten.
Ihre Lösung sollte in der Lage sein, solche Dateien zu importieren/lesen und zu visualisieren sowie Ihre kuratierten Daten entsprechend zu exportieren.
Es ist unbedingt erforderlich, die mit den Lizenzen verbundenen Rechte und Pflichten gemäß des SBOM festzulegen. Dies darf nicht nur auf einer allgemeinen Basis geschehen, sondern muss im individuellen Nutzungskontext erfolgen. Aufgrund eines anderen Geschäftsmodells oder geänderter IP-Anforderungen kann dieselbe Kostellation unterschiedliche Verpflichtungen mit sich bringen. Dies sollte von der rechtlichen Komponente erkannt und aufgelöst werden können.
Für alle verwendeten Open-Source-Komponenten sollte es möglich sein, Bekannte Schwachstellen abzugleichen, unabhängig davon, ob sich die Lösung noch in der Entwicklung befindet oder bereits im Feld. Besonders bei älteren Versionen wird es zu einer Herausforderung, verschiedene Versionen über den Lebenszyklus hinweg zu verwalten und zu pflegen. TrustSource unterstützt diese Aufgaben und hilft Ihnen nicht nur mit Warnhinweisen, sondern auch bei deren Verwaltung für ältere SBOMs sowie die die Verwaltung von zugehörigen VEX- und CSAF-Dokumenten.
Um eine ordnungsgemäße Umsetzung für arbeitsteilig organisierte Unternehmen zu gewährleisten, ist es eine Voraussetzung, Genehmigungsprozesse Workflow-gestützt zu automatisieren. Einerseits sind Lieferdruck und Präzisionsanspruch konkurrierende Interessen, die für einzelne Personen nicht auflösbar sein werden. Andererseits sind die Fähigkeiten zur Entwicklung von Software und die Kompetenz zur Beurteilung des Rechts- oder Sicherheitsstatus zwei sehr unterschiedliche Paar Schuhe. Genehmigungsprozesse und die Verteilung der Verantwortlichkeiten sollten von jeder Lösung unterstützt werden, um den langfristigen Erfolg der Open Source Compliance zu gewährleisten.
Um die Arbeitsergebnisse zu sichern und Verantwortlichkeiten zu schaffen, ist ein übergreifendes Rollen- und Rechte-Management entscheidend. Weder sollte jeder in der Organisation alle Projekte sehen können, noch sollte es jedem möglich sein, Genehmigungen zu erteilen. Wenn sie erteilt werden, sollten sie nachvollziehbar sein. Ohne personalisierte Verantwortung wird Ihr Compliance-Ansatz zum Scheitern verurteilt sein.
Schließlich ist das Ziel die Erstellung eines soliden „Notice-Files“, einer rechtlichen Dokumentation. Diese Erstellung sollte unterstützt und so weit wie möglich automatisiert werden, um die Zeit Ihrer Entwickler zu sparen. Checklisten, mit anstehenden Aufgaben, um eine entsprechende Datei zu erstellen, sollten unterstützt werden. So lässt sich eine ordnungsgemäße Übergabe gewährleisten. Darüber hinaus sollte eine gute Versionsverwaltung und Publikationsunterstützung auch für Systeme ohne UI nicht fehlen.
Heutigen Entwicklungsumgebungen sind stark integriert. Daher ist es von entscheidender Bedeutung, wichtige Funktionalität auch über ein API bereitzustellen. Der Scan- und Genehmigungsprozess könnte mit anderen Tools und Lösungen Ihres DevOps-Zyklus zusammenarbeiten; Informationen austauschen. Ein sicheres und solides API-Management ist unerlässlich, um Ihre Software-Lieferkette vor bösartigen Akteuren zu schützen, die diese zu manipulieren versuchen.
Die TrustSource Platform stellt Ihnen alle erforderlichen Kompetenzen zur Verfügung
Lernen Sie mehr über die Plattform und die zugrundeliegenden Konzepte aus diesem OpenChain Webinar…
Zusammensetzung analysieren
Analysieren Sie Repositories, Abhängigkeiten oder Docker-Dateien, um die Zusammensetzung Ihrer Software zu verstehen und eine SBOM abzuleiten.
Aufgaben abarbeiten
Übertragen Sie Aufgaben direkt in die Arbeitsabläufe Ihres Teams und halten Sie Entscheidungen und Umstände für Audits fest.
Rechtliche Konsequenzen bestimmen
Ergänzen und Analysieren der identifizierten Software im Hinblick auf Metadaten und Fakten, Ableitung rechtlicher Konsequenzen, Geschäftsgeheimnisse und anderer Auswirkungen auf das geistige Eigentum.
Freigaben erteilen
Genehmigen Sie Freigaben auf der Grundlage fundierter Berichte und aktueller Analysen. Fühlen Sie sich sicher, dass alle relevanten Aspekte hinreichend berücksichtigt wurden.
Schwachstellen erkennen
Erhalten Sie Warnungen über bekannte Schwachstellen oder aktiv genutzte Exploits (CISA), sehen Sie den aktuellen Status in Ihrem gesamten Portfolio.
Dokumentation generieren
Erhalten Sie Unterstützung durch automatisch generierte Dokumentation, ob SOUP-Liste, Krypto-Algorithmus oder Notice File. TrustSource automatisiert die Bereitstellung der rechtlichen Dokumentation.
Möchten Sie mehr darüber erfahren, wie Sie ein OSPO oder Ihr Open-Source-Compliance-Programm aufsetzen?
Es ist einfacher als Sie denken. Folgen Sie unserem 5-Schritte-Leitfaden und werden Sie in nur wenigen Tagen OpenChain-konform. Warum warten?
Häufige Fragen:
TrustSource stellt alle Werkzeuge und Dienste als Open Source für Ihr eigenes Setup zur Verfügung. Eine integrierte und vollständig verwaltete Version ist auch als Software-as-a-Service-Modells (SaaS) verfügbar. Ergänzend dazu, können Sie auch Ihr gesamtes Open-Source-Programmbüro an uns auslagern. Dazu wenden Sie sich bitte an unser Vertriebsteam, um mehr zu erfahren, bzw. den Aufwand abzuschätzen.
Wenn Sie den SaaS abonnieren, erhalten Sie auch Zugang zum Support. Den SaaS wir in unterschiedlichen Ausprägungen an: eine Team-, eine Unternehmens- und eine Enterprise-Lösung. Die Teams-Lösung ist für Open-Source-Projekte auch kostenlos nutzbar. Alle Varianten bieten die Kernfunktionalität, die für eine moderne Open-Source-Compliance erforderlich ist. Die Unternehmens- und Enterprise-Versionen bieten zusätzliche Dienste für die Verwaltung von SBOMs in großem Umfang, die Verwaltung des Benutzerzugriffs über Active Directory oder zusätzliche Funktionen für die Portfolioverwaltung.
Die Vergütung erfolgt durch eine monatliche/jährliche Gebühr. Neben der Gebühr gibt es noch eine nutzungsbasierte Komponente. TrustSource ist so konzipiert, dass eine Automatisierung möglich ist und bietet ein umfangreiches API. Jeder Abonnementtyp beinhaltet eine bestimmtes Transaktionskontingent pro Monat. Zusätzliche Transaktionspakete können bei Bedarf erworben werden. Die Preisgestaltung hängt von der Art des Abonnements ab.
Die meisten der Werkzeuge und Lösungen, aus denen die TrustSource-Suite besteht, sind als Open Source verfügbar. Sie können also mit ihnen arbeiten und sie selbst betreiben und updaten. Die wichtigsten Vorteile eines Abonnements sind die Integration durch die Managementlösung und das verwaltete Hosting, insbesondere im größeren Maßstab (Skalierung). Die Verwaltung von Compliance in großem Umfang erfordert eine gewisse Koordination und Transparenz. TrustSource bietet all dies in einer Lösung aus einer Hand. Sie abonnieren und beginnen sofort mit der Nutzung. Keine Installation, keine Einrichtung, einfach anwenden.
Darüber hinaus erhalten Sie Zugang zu einem erfahrenen Support-Team, das Ihnen helfen kann, schwierige fachliche oder technische Fragen erfolgreich zu lösen. Außerdem bieten wir Online-Schulungen an, die Sie nutzen können, um Ihre Entwicklerteams zu schulen und das Bewusstsein für das Thema in Ihrem Unternehmen zu erhöhen. Es besteht sogar die Möglichkeit, Ihre eigenen Schulungsvideos zu integrieren, um Ihre individuellen Richtlinien zu schulen. Sprechen Sie uns einfach an und vereinbaren Sie einen Termin.
Aber sicher! Registrieren Sie sich einfach und fangen Sie sofort an, die ersten 4 Wochen gelten als Probezeit und sind kostenlos. Sie können sich auch an unseren Vertrieb wenden und eine Testphase einrichten lassen. Abhängig von Ihren Zielen und der Größe Ihrer Organisation kann ein anderer Testansatz sinnvoll sein. Insbesondere aufgrund der unterschiedlichen Rollen, die für die Durchführung der Workflow-Tests erforderlich sind, ist die Einrichtung der Tests nicht immer trivial. Wir empfehlen daher, gemeinsam mit unseren Experten den für Sie besten Ansatz zu ermitteln.
Die Verwendung von TrustSource birgt kaum Risiko. Zu keinem Zeitpunkt wird Code an TrustSource übertragen. Unsere Scanner sind alle selbst Open Source, sodass Sie sehen können, was diese tun bzw. was sie übertragen. Der TrustSource-Dienst schützt Ihre Daten mit MFA-gesichertem Zugang, Verschlüsselung im Ruhezustand, kontinuierlicher Überwachung der Anwendung und gesicherten APIs. Um einen detaillierten Überblick zu erhalten, werfen Sie einen Blick auf unser Shared Security Responsibility Model (SSRM) (SSRM, engl.), in dem wir die Verteilung der Verantwortlichkeiten zwischen Kunde und Benutzer sowie unsere Sicherheitsmaßnahmen darlegen.