Open-Source-Management

Open-Source-Management für die Software, die Sie tatsächlich ausliefern.

SBOMs aus CI und von Lieferanten laufen zu einem einzigen, gesteuerten Inventar zusammen – Lizenzen, Schwachstellen und Wartungsstatus für jede Komponente.

Inventar · Lizenzen · Schwachstellen · Support · Richtlinien

Inventar · Lizenzen · Schwachstellen · Support · Richtlinien

Interlynk resolves SBOMs from CI and suppliers into one governed package inventory with license, vulnerability, and maintenance status.
DER BLINDE FLECK
DER BLINDE FLECK

Der Großteil Ihres Codes ist Open Source. Fast nichts davon ist sichtbar.

Der Großteil Ihres Codes ist Open Source. Fast nichts davon ist sichtbar.

Open Source trägt die Anwendung. Das Risiko, das damit einhergeht, liegt selten dort, wo Sie es im entscheidenden Moment abfragen können.

Inventar

Die Liste ist unvollständig.

Transitive Abhängigkeiten und mitgelieferter (vendored) Code landen nie in einer Tabelle – wenn also eine CVE auftaucht, können Sie die Frage „Nutzen wir das, und wo?“ nicht beantworten.

Lizenzen

Pflichten bleiben ungeprüft.

Copyleft- und unbekannte Lizenzen gelangen in die Produktion, weil niemand die Pflichten den Komponenten zugeordnet hat, die sie tragen.

Wartung

Abhängigkeiten verrotten still und leise.

ine vor zwei Jahren gewählte Bibliothek wird upstream archiviert, und nichts weist Sie darauf hin, dass sie nun nicht mehr gepflegt wird.

Sie können nicht steuern, was Sie nicht inventarisiert haben.

WAS SIE VERWALTEN
WAS SIE VERWALTEN

Vier Sichten auf dieselbe Komponente, eine einzige verlässliche Quelle.

Vier Sichten auf dieselbe Komponente, eine einzige verlässliche Quelle.

Jedes SBOM – aus der CI oder aus einem Lieferanten-Upload – läuft in einem einzigen Inventar zusammen, das Sie nach Paket, Lizenz, Schwachstelle oder Wartungsstatus abfragen können.

01

Ein Inventar für jede Komponente, die Sie ausliefern.

Jedes SBOM speist eine organisationsweite Paketliste. Sehen Sie jede genutzte Version einer Komponente, die Produkte, die sie ausliefern, sowie ihre PURL und ihr Ökosystem an einem Ort.

  • Produktübergreifende Paketsicht, nicht ein SBOM nach dem anderen

  • Versionsverfolgung über das gesamte Portfolio

  • Transitive und mitgelieferte Komponenten inbegriffen

02

Kennen Sie jede Lizenzpflicht, bevor Sie ausliefern.

Lizenzausdrücke werden nach dem SPDX-Standard geparst und durchlaufen einen Freigabe-Workflow. Pflichten wie Namensnennung, Offenlegung des Quellcodes und Copyleft werden je Lizenz verfolgt – benutzerdefinierte Lizenzen inklusive, neben dem Standardkatalog.

  • Freigabestatus „Freigegeben“, „Abgelehnt“ und „Ungeprüft“

  • Pflichtenverfolgung für jede Lizenz

  • Benutzerdefinierte, nicht-SPDX-Lizenzen im selben Inventar

03

Neue CVEs werden auf bereits ausgelieferte Versionen zurückgeführt.

Neue CVEs werden auf bereits ausgelieferte Versionen zurückgeführt. Komponenten werden mit NVD, GitHub Security Advisories und OSV abgeglichen und anschließend mit EPSS, CISA KEV und CWE angereichert. VEX-Einstufungen halten die Reaktion Ihres Teams fest, sodass derselbe Fund nicht zweimal bewertet wird.

  • Korrelation mit NVD, GitHub Security Advisories und OSV

  • EPSS und KEV zur Priorisierung, nicht nur CVSS

  • VEX-Einstufungsverfolgung für jeden Fund

04

Erkennen Sie Abhängigkeiten, die das Internet nicht mehr pflegt.

Die Support Analysis wertet Signale aus Paket-Registries und Repositorys aus, um den Wartungsstatus jeder Komponente einzustufen, und zeigt OpenSSF-Scorecard- und Health-Scores an – sodass Sie riskante Abhängigkeiten nach Ihrem Zeitplan ersetzen und nicht erst nach einem Sicherheitsvorfall.

  • Eingestuft von „aktiv gepflegt“ bis „aufgegeben“

  • Registry-Deprecation plus Signale zur Repository-Aktivität

  • OpenSSF Scorecard und Health-Scores je Paket

COMPLIANCE
COMPLIANCE

Jede Lizenz bringt Pflichten mit. Interlynk verfolgt sie.

Jede Lizenz bringt Pflichten mit. Interlynk verfolgt sie.

Die Pflichten sind jeder Lizenz im Inventar zugeordnet, sodass die Anforderungen einer Komponente sie über jedes Produkt hinweg begleiten, das sie verwendet.

Namensnennung

MIT

BSD

Apache-2.0

Fügen Sie den Copyright-Hinweis und den Lizenztext Ihrer Distribution bei.

Offenlegung des Quellcodes

GPL-3.0

LGPL

Stellen Sie den entsprechenden Quellcode den Empfängern zur Verfügung.

Copyleft

GPL-.20

GPL-3.0

Abgeleitete Werke müssen unter derselben Lizenz veröffentlicht werden.

Patentgewährung

Apache-2.0

Die Lizenz enthält eine ausdrückliche Gewährung von Patentrechten.

Netzwerk-Copyleft

AGPL-3.0

Der Quellcode muss Nutzern angeboten werden, die über ein Netzwerk mit der Software interagieren.

SO FUNKTIONIERT ES
SO FUNKTIONIERT ES

Vom Upload zum gesteuerten Inventar in vier Schritten.

1. Einlesen

SBOMs kommen bei Push und Pull Request von GitHub, GitLab und Bitbucket, aus pylynk oder der GraphQL API in der CI oder über einen Lieferanten-Upload-Link.

2. Auflösen

Komponenten werden in das organisationsweite Paketinventar eingelesen und ihre Lizenzausdrücke dem SPDX-Katalog zugeordnet.

3. Anreichern

Jede Komponente erhält Schwachstellentreffer, EPSS- und KEV-Status, Wartungsgrad und OpenSSF-Scorecard-Ergebnisse.

4. Steuern

Richtlinien greifen je Umgebung bei Lizenz, Schwachstelle und Support-Grad. Verstöße erscheinen als Tickets in Jira oder Linear und als Warnungen in Slack.

WARUM TEAMS WECHSELN
WARUM TEAMS WECHSELN

Ersetzen Sie die Tabelle und den isolierten Scanner.

Manuell + nur Scanner:

✕ Das Inventar liegt in einer Tabelle, die vom Build abdriftet

✕ Lizenzen werden einmal geprüft, wenn überhaupt, ohne Freigabenachweis

✕ Scans laufen beim Release und vergessen die Version danach

✕ Kein Signal, wenn eine Abhängigkeit upstream aufgegeben wird

✕ Befunde liegen in einem Bericht, den niemand einem Verantwortlichen zuweist

Mit Interlynk:

✓ Ein Inventar, das bei jedem Build aktualisiert wird – produktübergreifend

✓ Lizenz-Freigabe-Workflow mit verfolgten Pflichten

✓ Kontinuierliche Überwachung ordnet neue CVEs ausgelieferten Versionen zu

✓ Wartungsstatus für jede Komponente eingestuft

✓ Richtlinienverstöße werden an Jira, Linear und Slack weitergeleitet

Tabellen und Buckets

Kein automatisiertes Einlesen, keine Lieferanten-Einsammlung, keine kontinuierliche Überwachung, keine Qualitätsbewertung, keine Richtlinien-Gates und keine Portfolio-Analysen.

Eigene Skripte

Teilweises CI-Einlesen und Schwachstellenüberwachung, aber kein Lieferanten-Workflow, keine Qualitätsbewertung, keine Richtlinien-Gates und keine Portfolio-Ansicht.

Interlynk

Automatisiertes Einlesen, Lieferanten-Einsammlung, kontinuierliche Überwachung, Qualitätsbewertung, Richtlinien-Gates und Portfolio-Analysen in einem Workflow.

Open-Source-Management, beantwortet.

Was ist Open-Source-Management?

Es bedeutet, ein präzises, aktuelles Inventar der Open-Source-Komponenten in Ihrer Software zu führen und die damit verbundenen Risiken zu steuern: Lizenzpflichten, bekannte Schwachstellen und den Wartungsstatus. Interlynk inventarisiert Komponenten automatisch, prüft Lizenzen anhand eines Freigabe-Workflows, überwacht neue CVEs und kennzeichnet Komponenten, die nicht mehr gepflegt werden.

Was ist Open-Source-Lizenz-Compliance?

Wie findet Interlynk Schwachstellen in Open-Source-Komponenten?

Wie erkennen Sie aufgegebene Abhängigkeiten?

Welche Paket-Ökosysteme werden unterstützt?

Woher stammen die Komponentendaten?

Vertraut von Sicherheits- und Compliance-Teams in 100+ regulierten Unternehmen

Interlynk automatisiert SBOMs, verwaltet Open-Source-Risiken, überwacht Lieferanten und bereitet Sie auf das Post-Quanten-Zeitalter vor – alles auf einer vertrauenswürdigen Plattform.

Audit-bereite SBOM. Bei jedem Build.

Vertraut von Sicherheits- und Compliance-Teams in 100+ regulierten Unternehmen

Interlynk automatisiert SBOMs, verwaltet Open-Source-Risiken, überwacht Lieferanten und bereitet Sie auf das Post-Quanten-Zeitalter vor – alles auf einer vertrauenswürdigen Plattform.

Audit-bereite SBOM. Bei jedem Build.

Vertraut von Sicherheits- und Compliance-Teams in 100+ regulierten Unternehmen

Interlynk automatisiert SBOMs, verwaltet Open-Source-Risiken, überwacht Lieferanten und bereitet Sie auf das Post-Quanten-Zeitalter vor – alles auf einer vertrauenswürdigen Plattform.

Audit-bereite SBOM. Bei jedem Build.