Sie haben bereits einen Scanner? Gut. Sie haben einen Support-Vertrag für Ihre wichtigsten Projekte? Noch besser. Die Frage ist: Reicht das?
| Dimension | SCA-Tools | Katalog-ELS | Enterprise-Support | OTTRIA |
|---|---|---|---|---|
| Abdeckung | Scan Ihrer SBOM | Fester Projektkatalog | Ausgewählte Projekte | Gesamte SBOM |
| Findet Probleme | Nur registrierte CVEs | Nein | Teilweise | Ja, inkl. Silent Fixes |
| Behebt Probleme | Nein | Ja, nur im Katalog | Ja, für Auswahl | Ja, inkl. verwaiste Projekte |
| Upstream-Arbeit | Nein | Nein | Selten | Ja, als Steward |
| Compliance-Dokumentation | Reports | Nein | Nein | Vollständig auditfähig |
| Verwaisungs-Schutz | Nein | Teilweise | Nein | Ja |
| Löschungs-Schutz | Nein | Nein | Nein | Ja |
| Lizenzwechsel-Schutz | Nein | Nein | Nein | Ja |
| Betriebsgefährdende Bugs | Nein | Nein | Teilweise | Ja (DORA-Anforderung) |
| Anbieterstandort | Meist USA | Meist USA | Vereinzelt EU | Deutschland |
SCA-Scanner sind Layer 1: Sie machen sichtbar, was in Ihrem Stack steckt und welche registrierten Schwachstellen vorliegen. Das ist notwendig und wertvoll. Aber ein Scanner behebt keine Schwachstelle, erstellt keinen Patch und dokumentiert keine Maßnahme für Ihren Auditor. Und er findet nur, was in einer CVE-Datenbank registriert ist - nicht die vier bis elf Silent Fixes pro CVE.
Extended Lifecycle Support arbeitet aus einem festen Katalog. Wenn Ihre kritische Abhängigkeit dort gelistet ist, erhalten Sie Backports und Patches. Die Realität: Ihre SBOM enthält hunderte Projekte, der Katalog umfasst Dutzende. Die Lücke ist erheblich.
Kommerzieller Support bedient populäre Technologien mit hoher Nachfrage. Er löst Probleme in seinem Bereich zuverlässig. Aber er deckt nicht Ihre gesamte Lieferkette ab, liefert keine Compliance-Dokumentation und arbeitet nicht an verwaisten Projekten.
OTTRIA setzt dort an, wo Scanner und Support-Verträge enden. Wir überwachen Ihre gesamte SBOM, beheben Schwachstellen aktiv - auch in Projekten ohne Maintainer -, und liefern die auditfähige Dokumentation, die Ihre Aufsichtsbehörde erwartet.
OTTRIA ersetzt keines dieser Werkzeuge. Wir ergänzen sie.
Wenn Sie bereits einen Scanner einsetzen, nutzen wir dessen Ergebnisse als eine von mehreren Quellen. Wenn Sie bereits Support-Verträge haben, konzentrieren wir uns auf die Projekte, die nicht abgedeckt sind. Wenn Sie bereits ein internes Team haben, entlasten wir es bei den Aufgaben, die intern nicht skalieren: die Arbeit an hunderten heterogenen Projekten in Dutzenden Programmiersprachen.
Die Gesetze fordern nicht einzelne Werkzeuge. Sie fordern nachweisbare Sorgfalt über Ihre gesamte Software-Lieferkette. Dafür brauchen Sie Layer 1, Layer 2 und Layer 3 zusammen.
Welche der folgenden Aussagen können Sie heute mit Ja beantworten?
Jede Frage, die Sie mit Nein beantworten, ist eine offene Flanke. OTTRIA schließt diese Flanken.