Wie eine Zusammenarbeit startet

Sie haben sich entschieden, Ihre Open-Source-Lieferkette professionell absichern zu lassen. Hier erfahren Sie, was wir von Ihnen brauchen, wie der Prozess abläuft und was Sie wann erhalten.

Was wir von Ihnen brauchen #

Zwei Dinge:

• Ihre aktuelle SBOM - die Software Bill of Materials Ihrer Produkte und Systeme
• Einen Ansprechpartner - idealerweise gestaffelt nach Kritikalität und Kommunikationskanal (z.B. Security-Kontakt für kritische Meldungen, Projektleitung für operative Abstimmung)

Mehr nicht. Wir brauchen keinen Zugriff auf Ihre Systeme, Ihr Netzwerk oder Ihre internen Daten. Open-Source-Projekte existieren außerhalb Ihrer Infrastruktur - dort arbeiten wir.

SBOM-Übermittlung #

Im einfachsten Fall senden Sie uns Ihre SBOM einmalig zu. Empfohlen ist allerdings eine API-Integration, über die Ihre aktuelle SBOM kontinuierlich übermittelt wird. Das ist optional, stellt aber sicher, dass wir immer die tatsächliche und aktuelle Lieferkette überwachen - nicht den Stand von vor drei Monaten.

Was passiert nach Übermittlung der SBOM? #

Die Überwachung beginnt sofort. Wie schnell die vollständige Abdeckung steht, hängt davon ab, ob die Projekte in Ihrer SBOM bereits in unserem System sind:

• Projekte, die bereits im OTTRIA-System sind: Sofortige Abdeckung. Alle bestehende Dokumentation, Risikobewertungen und Maßnahmenhistorie stehen unmittelbar zur Verfügung.
• Neue Projekte (noch nicht im OTTRIA-System): Das Onboarding beginnt direkt nach Eingang der SBOM. Die Dauer hängt von Größe und Historie des Projekts ab - in der Regel sind es wenige Stunden.

Es gibt keine 30-Tage-Ramp-up-Phase. Die Abdeckung beginnt sofort.

Was Sie erhalten und wann #

Tag 1 #

Erste Analyse und Risikoübersicht: Welche Projekte sind bekannt, welche kritisch, wo gibt es offene Schwachstellen oder bekannte Risiken.

Erste Wochen #

Vollständige Risikobewertung aller Komponenten, priorisiert nach Kritikalität. Erste Compliance-Dokumente für Ihre Unterlagen. Beginn der aktiven Arbeit an kritischen Schwachstellen.

Laufend #

Kontinuierliche Überwachung aller Komponenten in Ihrer SBOM. Bei Sicherheitsvorfällen erhalten Sie sofortige Benachrichtigungen mit Risikobewertung und Handlungsempfehlung. Dazu kommen regelmäßige Zusammenfassungen mit Statusübersicht, behobenen Schwachstellen und offenen Punkten.

Was bei Ihnen bleibt #

OTTRIA übernimmt alles, was in der Open-Source-Welt passiert: Überwachung, Analyse, Bewertung, Fixes, Dokumentation. Ihre Aufgaben:

• SBOM bereitstellen und aktuell halten (idealerweise per API-Integration)
• Entscheidungen bei Handlungsbedarf treffen (wir liefern Entscheidungsvorlagen mit Optionen und Risikobewertung)
• Patches in Ihrem System deployen

Die Entscheidung und das Deployment bleiben bei Ihnen - das ist regulatorisch auch nicht anders möglich (Art. 5 Abs. 2 DORA, Paragraph 38 NIS2UmsuCG).

Weiterlesen #

• Was Sie erhalten
• So prüfen Sie uns
• Häufig gestellte Fragen

Sie möchten wissen, wie OTTRIA Ihre SBOM absichern kann? Fordern Sie ein unverbindliches Erstgespräch an - Kontakt aufnehmen.