Sie haben vermutlich bereits Werkzeuge im Einsatz: Scanner, die Ihre Abhängigkeiten durchleuchten, vielleicht einen Support-Vertrag für einzelne Projekte. Das ist ein guter erster Schritt.
Aber fragen Sie sich: Wer behebt die gefundenen Schwachstellen? Wer kümmert sich um die 750 Projekte in Ihrer SBOM, für die es keinen Support-Vertrag gibt? Wer handelt, wenn ein kritisches Projekt verwaist?
OTTRIA ist die Antwort auf diese Fragen.
SCA-Scanner sind ein wichtiger Layer: Sie machen registrierte Schwachstellen sichtbar. Aber ein CVE-Alert ist noch kein Fix. Sie erfahren, dass ein Problem existiert - und stehen dann allein da. Wer koordiniert den Patch? Wer portet ihn zurück? Wer dokumentiert das für den Auditor?
Anbieter von Extended Lifecycle Support decken einen festen Katalog populärer Endprodukte ab - etwa End-of-Life-Frameworks oder alte Distributionen. Das hilft, wenn Ihre kritische Abhängigkeit zufällig im Katalog ist. Aber selbst dann betreuen diese Anbieter nur das Endprodukt, nicht dessen eigene Abhängigkeiten. Die hunderte Bibliotheken, von denen ein Framework intern abhängt, bleiben außen vor.
Kommerzieller Support ist für Mainstream-Technologien verfügbar. Aber Open-Source-Lieferketten bestehen nicht nur aus den zehn bekanntesten Projekten. Sie bestehen aus hunderten Abhängigkeiten in Dutzenden Sprachen - die meisten davon ohne kommerzielles Angebot.
Layer 1 ist Sichtbarkeit: Erkennen, was in Ihrem Stack steckt. Dafür gibt es gute Werkzeuge.
Layer 2 ist Eingriff: Schwachstellen beheben, Patches erstellen, Upstream-Arbeit leisten - auch bei Projekten, die niemand sonst anfasst.
Layer 3 ist Governance: Auditfähige Dokumentation, Risikobewertung, Compliance-Nachweise, Frühwarnung.
OTTRIA deckt Layer 2 und 3 ab. Komplementär zu dem, was Sie bereits haben.
Zwischen SCA-Tool, Support-Vertrag und OSS-Governance gab es bisher nichts. Keine Lösung, die Ihre gesamte SBOM abdeckt, aktiv im Code eingreift und gleichzeitig prüffähige Nachweise liefert.
OTTRIA schließt diese Lücke - nicht als Ersatz für bestehende Werkzeuge, sondern als notwendige Ergänzung.
OTTRIA arbeitet nicht aus einem festen Projektkatalog. Wir überwachen und pflegen alle Komponenten Ihrer SBOM, unabhängig von Sprache, Popularität oder Maintainer-Struktur.
Wir erstellen und koordinieren Patches. Auch in Projekten, deren Maintainer nicht mehr reagieren. Auch in Projekten, die als verwaist gelten.
Als Open Source Steward nach dem Cyber Resilience Act ist OTTRIA in die Sicherheitsprozesse von Projekten eingebunden. Das bedeutet: Frühwarnungen bis zu 28 bis 90 Tage vor der öffentlichen CVE-Veröffentlichung.
Auf jede registrierte Schwachstelle kommen vier bis elf stillschweigend behobene Sicherheitsprobleme, die nie eine CVE-Nummer erhalten (Silent Fixes). Kein Scanner findet sie. OTTRIA erkennt sie durch aktive Code-Analyse und Projektbeteiligung.
Bugs, die den Geschäftsbetrieb gefährden, aber in keiner Schwachstellendatenbank auftauchen. Verwaiste Projekte. Löschungen. Lizenzwechsel. Für all das gibt es keine automatisierte Lösung - nur systematische Arbeit im Ökosystem.
OTTRIA unterstützt Sie bei der Identifikation und Beantragung relevanter Fördermittel, die Ihre Investition in Open-Source-Governance teilweise refinanzieren können.
Alles, was OTTRIA tut, ist Open Source: Patches, Reviews, Issues, SBOMs. Sie können jede Maßnahme nachvollziehen. Ihr Auditor auch.
OTTRIA ist ein europäischer Anbieter, der nicht nur scannt, sondern im Code arbeitet. Keine Abhängigkeit von US-Toolanbietern. Operative Handlungsfähigkeit statt passiver Konsum fremder Plattformen. Wenn Upstream ausfällt, können wir handeln - nicht nur melden.
Kein Unternehmen, das mit OTTRIA arbeitet, soll jemals ein Bußgeld aufgrund seiner Open-Source-Komponenten zahlen müssen. Das ist kein Slogan - das ist der Maßstab, an dem wir uns messen lassen. Konkret bedeutet das: Wir überwachen jede Komponente in Ihrer SBOM, beheben Schwachstellen aktiv und liefern die prüffähige Dokumentation, die belegt, dass Sie Ihrer Sorgfaltspflicht nachgekommen sind. Falls dennoch ein Audit Fragen aufwirft, stehen Ihnen lückenlose Maßnahmenprotokolle, Risikobewertungen und Entscheidungsvorlagen zur Verfügung - genau die Nachweise, die den Unterschied zwischen "nachweislich gehandelt" und "nichts getan" ausmachen.