Cast erstellt mit Software Heritage Index für Herkunft von Sourcecode

Mit dem Herkunftsindex sollen Unternehmen erkennen, welche frei verfügbaren Komponenten ihr Code enthält.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen
Cast erstellt mit Software Heritage einen Index für die Herkunft von Sourcecode
Lesezeit: 2 Min.
Von
  • Rainald Menge-Sonnentag

Das auf Softwareanalyse spezialisierte Unternehmen Cast Software baut zusammen mit Software Heritage einen Herkunftsindex (Providence Index) für Sourcecode. Damit sollen Unternehmen schnell erkennen können, welche frei verfügbaren beziehungsweise Open-Source-Komponenten ihr Code enthält, um potenzielle Lizenzverletzungen oder Sicherheitsrisiken frühzeitig zu erkennen.

Die Basis dafür bietet das Source-Code-Archiv von Software Heritage. Das Projekt startete 2016 mit dem Ziel, alle frei verfügbare Software zusammenzutragen und zugänglich zu machen. Initiator ist das mit der deutschen Max-Planck-Gesellschaft vergleichbare französische staatliche "Institut national de recherche en informatique et en automatique" (nationales Forschungsinstitut für Informatik und Automatisierung), kurz Inria.

Die Startseite der Organisation listet die verwalteten Sourcen. Beim Schreiben dieser Meldung war der Stand etwa 5,7 Milliarden Sourcedateien und 1,3 Milliarden Commits aus 88 Millionen Projekten. In Zusammenarbeit mit Cast Software, das ebenfalls französische Wurzeln hat, soll nun mit einer speziellen, nicht weiter erläuterten Indizierungstechnik ein Herkunftsindex entstehen, mit dem sich das Archiv effizient durchsuchen lässt.

Entwickler können das Software-Heritage-Archiv auch nach ihrem Sourcecode durchsuchen.

Mit der kommerziellen Software as a Service (SaaS) Cast Highlight können Unternehmen Sourcen analysieren und darin verwendeten öffentlich verfügbaren Code identifizieren, sofern er im Archiv von Software Heritage zu finden ist. Damit sollen sie potenzielle Lizenzverletzungen erkennen, die sich durch das Verwenden bestimmter Sourcedateien ergeben. Außerdem können sie sehen, ob verwendete Komponenten bekannte Schwachstellen enthalten. Cast Software hat im Sommer 2018 mit Antelink einen Anbieter für Software Composition Analysis (SCA) übernommen.

Weitere Details zu der Kooperation lassen sich der Pressemitteilung von Cast Software entnehmen. (rme)