Situation

Firmen treiben durch Open Innovation ihre digitale Zukunft voran und profitieren von gemeinsamem Wissen und Entwicklungskapazitäten sowie von strategischen, offenen Entwicklungs- und Innovationsallianzen. Sie stärken ihre digitale Souveränität, reduzieren den Vendor-Lock-in-Effekt und verbessern IT-Sicherheit, Qualität und Transparenz durch Open-Source Communities.

Erfahrene Entwickler schreiben ihren Code nicht von Grund auf neu, sondern nutzen Open-Source für die Entwicklung. Die Gründe für den Einsatz liegen in der Verbesserung der Produktivität, der Verkürzung der Entwicklungszeit und in der Reduzierung der Entwicklungskosten. KI unterstützt immer mehr bei der Erstellung von Software. Angelernt durch Code aus Open-Source Repositories lässt sich qualitativ hochwertiger Code blitzschnell erzeugen.

Wichtig ist hierbei die Beachtung geistigen Eigentums und von Lizenzvorgaben. Für eine rechtssichere Verwendung müssen in einer Software alle Open-Source Bestandteile bekannt sein und kontinuierlich auf Sicherheitslücken geprüft werden.

In der EU entsteht gerade der europäische Cyber Resilience Act (CRA). Mit DORA (Digital Operational Resilience Act) und NIS2 hat die Europäische Union eine finanzsektorweite Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz geschaffen.

Ein effizientes Open-Source-Management Framework sowie der Einsatz geeigneter Prozesse und Werkzeugketten wie Software Composition Analysis (SCA) und Software Asset Management (SAM) sind Voraussetzung für einen rechtssicheren und nachhaltigen Einsatz von OSS. Professionalisieren Sie das Management des geistigen Eigentums in Ihrer Software-Lieferkette mit bestehenden Standards wie ISO 5230 und ISO 5962.

Bitsea unterstützt Sie in allen Belangen des Open-Source-Managements, damit Sie als Unternehmen vor fehlender Compliance und vor Cyberangriffen auf die Software-Lieferketten geschützt sind.

Schutz vor Risiken

Compliance
Schutz vor rechtlichem Risiko wie dem geistigen Eigentum Dritter (IP) und Lizenzverpflichtungen.

Cybersicherheit
Schutz vor Sicherheitslücken und Anfälligkeit in Software-Lieferketten: Kontinuierliche Überwachung.

Exportrestriktionen
Viele Komponenten, oft mit Algorithmen zur Verschlüsselung, unterliegen strengen Exportrestriktionen mit drastischen Strafen.

Künstliche Intelligenz (KI)
Generierter Code, angelernt von Codefragmenten aus Open-Source Repositories, erzeugt oft Code ohne Beachtung und ohne Nennung von Urheberrechten und Lizenzen.

Lizenzänderungen
Einige Open-Source-Projekte ändern bei Herausgabe eines Updates die zugrundeliegende permissive Lizenz oftmals zu einer restriktiveren. Dies erfordert eine kontinuierliche Überwachung der genutzten Komponenten und Versionen.

Richtlinien Schutz
68 % der Unternehmen haben keine interne Richtlinie bezüglich der Verwendung von Open-Source. Die Mehrheit der Entwickler sind sich über weniger als 10% der Open-Source Anteile in ihren Produkten bewusst (Quelle: Bitkom Open Source Monitor 2023).

Eliminieren Sie die unkontrollierte Nutzung von Open-Source, um Urheberrechtsverletzungen, Rechtsstreitigkeiten, Sicherheitslücken und Betriebsrisiken zu vermeiden. Erfüllen Sie Lizenzverpflichtungen und verhindern Sie Sanktionen oder Vertragsstrafen.

Bitseas Dienstleistungen

Profitieren Sie von einem nachhaltigen Open-Source Sicherheits-, Risiko- und Compliance-Management.

Beratung
Bitsea berät Kunden umfassend zu Open-Source Strategie, Open-Source Governance, Open-Source Prozessen, Werkzeugketten und bietet ein Open-Source-Program-Office (OSPO) und Scanning als „Managed Service“ an. Zur Sensibilisierung Ihrer Teams bieten wir umfangreiche Workshops und Lehrgänge an.

Entwicklung
Bitsea baut und betreibt Tool-unabhängig ihre Open-Source Werkzeugketten und die dazugehörige Infrastruktur. Bei Bedarf passen unsere Entwickler Schnittstellen, Werkzeuge oder Berichte kundenspezifisch an.

Audits
Unser erfahrenes Bitsea Audit-Team erkennt und überwacht operative OSS-Risiken und hilft Ihnen bei der Sicherstellung der Rechtskonformität des Quellcodes. Bitsea verwendet einen Multifaktor-Ansatz zur Software Composition Analysis (SCA). Sie erhalten eine transparente Stückliste (SBOM) der Komponenten, Sicherheitslücken, Lizenzen und Lizenzverpflichtungen. Wir überwachen ihre gesamte Lieferkette und helfen auch ihren Zulieferern benötigte Daten bereitzustellen. Der Fokus liegt hier auf Automatisierung und Wiederverwendung bereits kuratierter Daten. Bei rechtlichen Fragen unterstützen wir zusammen mit unserem weiteren Partnernetzwerk.

Engagement OpenChain
Als Partner der OpenChain unterstützen wir bei Vorbereitung und Einführung eines Open-Source-Lizenz-Compliance-Programms nach ISO/IEC 5230 und beraten bezüglich OpenChain Security Assurance nach ISO/IEC 18974.

Embedded Systems
Ein wesentlicher Aufwandstreiber bei der Analyse ist die Systemgröße. Vor allem bei eingebetteten Systemen („embedded Systems“) wie beispielsweise Yocto/Linux oder Frameworks wie Android kann mit einem intelligenten Zuschnitt des Untersuchungsgegenstandes Aufwand und Zeit oft auf einen Bruchteil reduziert werden. Bitsea hat ein automatisiertes Verfahren entwickelt, um vorab relevante Sourcen zu identifizieren und unbenötigten Quellcode zu eliminieren. Dies spart Zeit und Kosten.

Analyse der Softwarekomponenten

Image

Software wird aus verschiedenen Komponenten mit unterschiedlicher Herkunft aufgebaut. Der vollumfängliche Analyseansatz von Bitsea hilft ihnen, die Quelle und Abstammung Ihres Codes zu verstehen.

Forensische Analyse

Analyse des Quellcodes, Binärdateien, Container, Build-Abhängigkeiten, Unterkomponenten, Patches, modifizierte Open-Source-Komponenten und Fragmente derselben.

Image

Erkennung von Codefragmenten

Identifizierung von kopiertem und geändertem Open Source Code innerhalb des eigenentwickelten Codes.

Sicherheits- schwachstellen

Allein im Jahr 2019 sind mehr als 20.000 Schwachstellen dokumentiert worden und markieren ein neues Allzeitloch. Überwachen Sie Schwachstellen proaktiv und kontinuierlich. Erhalten Sie Warnmeldungen für neu entdeckte Schwachstellen Ihrer Produkte.

Image

Compliance- Bibliothek

Image

Mit einer 150 TB umfassenden Datenbank verwendet Bitsea die größte, umfangreichste Open Source Bibliothek mit mehr als 14 Millionen Open Source Komponenten. Über 400.000 Komponenten können auf Schwachstellen analysiert werden.

Erstellung der Stückliste BoM

95% der etablierten IT-Organisationen setzen Open Source Software innerhalb ihres geschäftsrelevanten IT-Portfolios ein. Organisationen kennen weniger als 10% ihrer Open Source-Komponenten. Bitseas Experten haben bisher schon mehr als 100 Mio. LOC im Kundenauftrag analysiert um Stücklisten (BoM) zu erstellen.

Image

Beratung

Unsere hochqualizierten Auditoren unterstützen Sie beim Management von Open Source-Lizenzverpflichtungen. Direkte Abstimmung mit der Rechtsberatung.

Schulung & Coaching

Bitsea bietet Schulungen über Open Source - Compliance für Manager, Projektmanager und Entwickler an.

Image

Due-Diligence Prüfung

Bitsea ist unabhängig. Unsere Beratung und Bewertung durch Experten sind standardisiert, fair und objektiv.

Automatisierung

Automatiserung der Werkzeugkette, Integration in bestehende Infrastruktur, Inventarisierung, Katalogisierung, Wiederverwertung

Image

Openchain

Open Source-License-Compliance nach ISO 5230

Image

Identifikation von

Export-

beschränkungen

Benefit

· Open-Source-Sicherheit und Compliance-Management
· Transparente Liste von Lizenzen und Lizenzverpflichtungen
· Erfahrenes Audit-Team
· Erkennung und Überwachung von operationellen OSS-Risiken
· Sicherstellung der Rechtskonformität Ihres Codes
· Verfolgung, Verwaltung und Sicherung Ihres Codes
· Erkennung und Überwachung von Sicherheitsschwachstellen