Mehr als ein Scanner: Unser ganzheitlicher Ansatz für Ihre Lizenzsicherheit
In der heutigen Softwareentwicklung ist die korrekte Verwaltung von Lizenzen entscheidend, um rechtliche Risiken zu reduzieren. Doch herkömmliche FOSS Scanner stoßen oft an ihre Grenzen: Sie sind kompliziert einzurichten und produzieren oft viele False-Positives. Sie bieten deshalb keinerlei rechtliche Absicherung. Genau hier setzen wir an.
Unser ganzheitlicher Ansatz sorgt dafür, dass Sie sich auf das Wesentliche konzentrieren können – ohne Kompromisse bei der Lizenzsicherheit. Wir bieten Ihnen nicht nur technische Unterstützung, sondern kombinieren präzise Scanner-Analysen mit rechtlicher Expertise und bewährten Best Practices.
Einrichtung und Validierung des Scanners
Wir übernehmen die vollständige Einrichtung des Scans und stellen sicher, dass alle Open-Source-Komponenten Ihrer Software erfasst werden – ohne zusätzlichen Aufwand für Ihr Team. Durch eine präzise Konfiguration garantieren wir eine lückenlose Abdeckung, und das ohne direkten Zugriff auf Ihren Code.
Rechtliche Prüfung durch IP-Anwälte
Unsere erfahrenen IP-Anwälte prüfen auf Wunsch Lizenzvereinbarungen wie Dual-Licensing und stellen sicher, dass alle kommerziellen Lizenzen korrekt abgeschlossen sind. So minimieren wir rechtliche Risiken und schaffen langfristige Sicherheit für Ihr Unternehmen.
Kontinuierlich aktualisierter Report und SBOM
Wir erstellen einen detaillierten Report und eine Software Bill of Materials (SBOM) in dem Format, das Sie benötigen. Unser Setup sorgt dafür, dass diese Dokumente kontinuierlich aktualisiert werden, sodass Sie immer auf dem neuesten Stand bleiben.
Erfahrung in Due Diligence Prozessen
Mit unserer umfangreichen Erfahrung aus zahlreichen Due-Diligence-Projekten gestalten wir Ihre Lizenzsituation nachhaltig. Unser Team übernimmt Verantwortung und steht Ihnen mit umfassendem Support zur Seite.
Was unsere Kunden sagen
Rupert Sierp
Datenverarbeitung
GmbH & Co. KG
"Dank der Unterstützung durch BitFlow konnten wir uns optimal auf die Due Diligence vorbereiten. Ein zentraler Bestandteil war die Analyse unserer Open-Source-Abhängigkeiten und Lizenzrisiken, um potenzielle rechtliche Hürden frühzeitig zu identifizieren. Die Prüfung durch die IP-Anwälte von BitFlow bestätigte, dass unsere Software rechtlich einwandfrei ist, was für die Käuferseite ein entscheidender Faktor war. Besonders wertvoll war für uns, dass BitFlow diesen Prozess ohne direkten Zugriff auf unseren Source Code durchgeführt hat."
Michael Czermak
"BitFlow bietet weit mehr als nur ein Tool – sie liefern eine komplette Lösung für unsere Lizenz- und Sicherheitsanforderungen. Die Kombination aus technischer Präzision und rechtlicher Expertise ist genau das, was wir gesucht haben. Besonders gut gefallen hat uns die Übersicht über die Dependencies und die durchgeführte Risikobewertung. Wir haben zwei Dependencies ersetzen können, die deutlich aktiver auf GitHub gewartet werden!"
Thomas Kühn
"BitFlow generiert und aktualisiert unsere SBOM kontinuierlich, sodass wir jederzeit eine vollständige und aktuelle Übersicht über unsere Softwarekomponenten haben. Diese Grundlage war wichtig für uns, um eine zentrale regulatorische Vorgabe des Cyber Resilience Act zu erfüllen. Zusätzlich sorgt ihr Tool LicenceFlow dafür, dass wir sofort informiert werden, wenn in einer genutzten Dependency eine Sicherheitslücke auftritt."
Die Herausforderungen bei der Open Source Lizenzprüfung
Herkömmliche Scanner stoßen bei der Open Source Lizenzprüfung schnell an ihre Grenzen. Problematische Lizenzen wie die (A)GPL stellen Unternehmen vor erhebliche Herausforderungen, da oft unklar bleibt, wie solche Abhängigkeiten ersetzt oder entfernt werden können. Zudem liefern diese Tools oft unpräzise Ergebnisse, bieten keine rechtliche Unterstützung und erfordern eine aufwendige Einrichtung. Diese Schwächen führen zu ineffizienten Prozessen und erhöhen das Risiko rechtlicher und finanzieller Konsequenzen.
Problematische Dependencies
Die Beseitigung problematischer Dependencies mit kritischen Lizenzen wie der (A)GPL wird von herkömmlichen Scannern nicht abgedeckt. Oft bleibt unklar, wie solche Abhängigkeiten ersetzt oder entfernt werden können, was erhebliche rechtliche und finanzielle Risiken verursacht. Wir helfen Ihnen nicht nur dabei, solche Komponenten zu erkennen, sondern unterstützen Sie auch aktiv bei deren Entfernung, falls erforderlich.
Fehlende Verantwortung und kein rechtlicher Support
Viele Tools bieten lediglich technische Analysen, ohne rechtliche Beratung oder Unterstützung bei der Bewertung von Lizenzrisiken. Unternehmen bleiben oft allein mit den Ergebnissen, was im Ernstfall zu kostspieligen Konsequenzen führen kann. Wir kombinieren technische Expertise mit rechtlicher Unterstützung, um Ihnen klare Handlungsempfehlungen zu liefern.
Oft sehr viele False-Positives
Standard-Scanner produzieren häufig eine Vielzahl an False-Positives, die wertvolle Zeit und Ressourcen kosten. Diese ungenauen Ergebnisse erschweren es, fundierte Entscheidungen zu treffen und können zu ineffizienten Prozessen führen. Mit unserem Ansatz erhalten Sie präzise Ergebnisse ohne unnötige Ablenkungen durch irrelevante Warnungen.
Komplexe Einrichtung von Scannern
Die Einrichtung herkömmlicher Scanner ist oft fehleranfällig, zeitaufwendig und erfordert technisches Know-how, das nicht immer im Unternehmen vorhanden ist. Unvollständige Scans können dazu führen, dass wichtige Open-Source-Komponenten übersehen werden, was rechtliche Risiken birgt. Wir sorgen für eine reibungslose und vollständige Erfassung aller relevanten Komponenten, ohne zusätzlichen Aufwand für Ihr Team.
Unser Lizenzprüfungsprozess
Um sicherzugehen, dass Ihre Software keine kritischen Open-Source-Lizenzen enthält, bedarf es eines präzisen Prozesses, der automatisierte Tools mit der manuellen Prüfung durch erfahrene Experten kombiniert. Auf diese Weise garantieren wir höchste Qualität und Rechtssicherheit!
Lokaler Dependency-Scan: Unser Scanner läuft ausschließlich lokal, sodass Ihr Code bei Ihnen bleibt. Wir übermitteln nur die Namen der verwendeten Abhängigkeiten, die gemeinsam mit Ihren Entwicklern analysiert werden. Falls nötig, können spezifische Abhängigkeiten on-demand übermittelt und weitergehend analysiert werden – ganz flexibel, auch per Video-Call, ohne dass Source Code übertragen werden muss.
Erweiterte Code-Analyse: Unsere fortschrittlichen FOSS Code-Scanner identifizieren alle Open-Source-Komponenten in Ihrer Codebasis, selbst solche, die manuell kopiert und nicht über Paketmanager verwaltet werden. Dies hilft, auch versteckte Risiken aufzudecken.
Minimierung von False-Positives: Der Scanning-Prozess erfordert manuelle Überprüfungen aufgrund von False-Positives. Diese werden jedoch durch unser erfahrenes Team von Lizenzexperten abgefangen, sodass Sie sicher sein können, dass nur relevante und präzise Ergebnisse berücksichtigt werden.
Manuelle Überprüfung: Automatisierte Tools sind leistungsstark, aber nicht unfehlbar. Um Gründlichkeit zu gewährleisten, überprüfen unsere Experten die ermittelten Abhängigkeiten manuell. Dieser Schritt ist entscheidend für Szenarien, in denen Dateien direkt eingecheckt werden und nicht immer über ein Dependency-Managementsystem verwaltet werden.
Identifizierung von Lizenzen und Compliance Check: Wir prüfen die Lizenz jeder Open- Source-Komponente, um die ordnungsgemäße Verwendung und Einhaltung der Vorschriften sicherzustellen. Dazu gehört die Überprüfung, ob alle Lizenzbedingungen eingehalten werden, einschließlich der Namensnennung und spezifischer Nutzungsbeschränkungen.
Regulatorische Compliance: Wir stellen sicher, dass alle Open-Source-Komponenten den relevanten Compliance-Anforderungen wie dem Cyber Resilience Act (CRA) entsprechen. Unsere Ergebnisse liefern wir im standardisierten SBOM-Format (z. B. SPDX oder CycloneDX) und gewährleisten dabei die Konformität mit OpenChain ISO/IEC 5230.
Risikobewertung: Wir bewerten die rechtlichen und betrieblichen Risiken, die mit jeder Open-Source-Komponente verbunden sind. Dies hilft dabei, mögliche Probleme zu verstehen, die durch die Verwendung einer bestimmten Open-Source-Bibliothek entstehen könnten.
Umfassender Bericht: Abschließend erstellen wir einen detaillierten Bericht, in dem wir unsere Ergebnisse darlegen, einschließlich etwaiger Probleme mit der Einhaltung von Vorschriften und empfohlener Maßnahmen zu deren Lösung.
Integration in CI/CD-Prozesse inkl. Update Service: Semi-automatische Prüfung neuer Dependencies in Verbindung mit Package-Manager-Files (z. B. package.json , requirements.txt ), um sicherzustellen, dass alle hinzugefügten Open-Source-Komponenten kontinuierlich auf Compliance und Sicherheitsrisiken geprüft werden.
Security Alerts: Benachrichtigungen bei Sicherheitslücken (ähnlich wie GitHub Dependabot). Und der Bereitstellung von Entwicklern für schnelle Fixes innerhalb von 24 Stunden.
Case Study: OSS Lizenzprüfung bei Thalia
Effiziente Lizenzprüfung und nachhaltige Softwareentwicklung – mit unserer Lösung konnte Thalia ihre Softwareentwicklung optimieren, Lizenzrisiken minimieren und die langfristige die Wartbarkeit ihrer Software erhöhen.
Individuelle Anpassung: Unsere flexible Lösung integriert sich nahtlos in bestehende Workflows und unterstützt unterschiedliche Technologie-Stacks.
Mehrwert: Neben der Lizenzprüfung liefern wir Best Practices zur Verwaltung von Abhängigkeiten und helfen bei der Optimierung der Entwicklungsprozesse.
Einführung einer strukturierten Abhängigkeitsverwaltung mit modernen Tools wie Poetry oder uv
Automatisierte und manuelle Normalisierung von Lizenzinformationen
Identifikation und Lösung kritischer Lizenzrisiken
Thalia-Case Study kostenlos herunterladen
Lesen Sie die vollständige Case Study und entdecken Sie, wie Thalia durch optimiertes Lizenzmanagement ihre Softwareentwicklung optimieren hat.
Jetzt Case Study herunterladen
Unsere abgeschlossenen Projekte
Hier finden Sie eine Übersicht unserer abgeschlossenen Projekte, die Ihnen einen Einblick in unsere Arbeiten und unsere Expertise bietet.
Häufige Fragen
Hier finden Sie eine Übersicht der häufigsten Fragen zu unserer Open-Source-Lizenz-Prüfung. Falls Ihre Frage nicht dabei ist, kontaktieren Sie uns gerne. Wir besprechen Ihre Anforderungen und Fragestellungen gerne in einem 30-minütigen Gespräch.
Eine Lizenzprüfung ist eine gründliche Überprüfung aller Softwarelizenzen eines Unternehmens, um sicherzustellen, dass sie korrekt erworben, verwendet und verwaltet werden. Egal ob Start-up, mittelständisches Unternehmen, oder Giant-Player - dies ist wichtig, um rechtliche Sicherheit zu gewährleisten, unnötige Kosten zu vermeiden und das Risiko von rechtlichen Problemen zu minimieren.
Bei einer Lizenzprüfung werden alle Arten von Softwarelizenzen überprüft, einschließlich Betriebssysteme, Anwendungssoftware, Entwicklertools, Datenbanken und mehr.
Eine Lizenzprüfung bietet eine Reihe von Vorteilen, darunter rechtliche Sicherheit und Compliance, optimierte Ressourcennutzung, verbesserte IT-Sicherheit und Risikominimierung sowie eine erhöhte Attraktivität für Investoren.
Eine Lizenzprüfung wird typischerweise durch Analyse von Lizenzdokumenten, Überprüfung von Installationsdaten, Inventarisierung von Softwareprodukten und Vergleich mit den tatsächlichen Nutzungen durchgeführt.
Es wird empfohlen, regelmäßige Lizenzprüfungen durchzuführen, mindestens einmal pro Jahr oder bei größeren Veränderungen im Unternehmen, wie z.B. Fusionen, Übernahmen oder IT-Infrastrukturänderungen.
Wenn bei der Lizenzprüfung Unregelmäßigkeiten festgestellt werden, sollten diese sofort behoben werden, um rechtliche Konsequenzen zu vermeiden. Dies kann die Nachlizenzierung von Software, Verhandlungen mit Anbietern oder andere Maßnahmen umfassen.
Um sicherzustellen, dass Ihre Softwarelizenzen auch in Zukunft rechtlich abgesichert sind, ist es wichtig, ein effektives Lizenzmanagement-System einzurichten und regelmäßige Lizenzprüfungen durchzuführen. Darüber hinaus ist es ratsam, bei Veränderungen im Unternehmen oder bei Softwarenutzung den Lizenzstatus zu überprüfen und bei Bedarf Anpassungen vorzunehmen.
Sichern Sie sich jetzt Ihre kostenlose Codeanalyse!
Unsere kostenlose Codeanalyse hilft Ihnen, potenzielle Risiken in Ihrer Software frühzeitig zu erkennen. Wir prüfen Ihre Open-Source-Komponenten und identifizieren mögliche rechtliche Probleme. Sie erhalten eine erste Einschätzung sowie individuelle Handlungsempfehlungen – schnell, unverbindlich und kostenlos.