Endor Labs DependencyCI

Endor Labs DependencyCI ist eine spezialisierte KI-Plattform für die Absicherung der Software-Lieferkette, die Entwicklerteams hilft, die Risiken von Open-Source-Abhängigkeiten zu verstehen und zu managen. In einer Welt, in der über 90 Prozent der modernen Software auf Open-Source-Komponenten basiert, ist die Supply-Chain-Sicherheit zu einem kritischen Thema geworden. Angriffe wie Log4Shell und SolarWinds haben gezeigt, wie verwundbar die Software-Lieferkette ist.

Endor Labs adressiert dieses Problem mit einem KI-gestützten Ansatz, der über einfache Vulnerability-Scanner hinausgeht. Die KI analysiert nicht nur bekannte Schwachstellen (CVEs), sondern bewertet auch die Erreichbarkeit von Vulnerabilities im spezifischen Code-Kontext: Ist eine verwundbare Funktion in einer Abhängigkeit überhaupt von der eigenen Anwendung aufgerufen? Diese kontextuelle Analyse reduziert die Anzahl der tatsächlich relevanten Findings um bis zu 80 Prozent und befreit Entwicklerteams von dem lähmenden Alert-Fatigue, den herkömmliche SCA-Tools verursachen.

Darüber hinaus bewertet das System die Gesundheit und Vertrauenswürdigkeit von Open-Source-Projekten anhand von über 60 Faktoren: Maintainer-Aktivität, Code-Qualität, Community-Größe, Sicherheitspraktiken und Lizenz-Compliance. Die KI erkennt zudem potenzielle Supply-Chain-Angriffe wie Typosquatting, Maintainer-Account-Übernahmen und verdächtige Code-Änderungen. Die Integration erfolgt nahtlos in CI/CD-Pipelines (GitHub Actions, GitLab CI, Jenkins) und bietet Policy-as-Code-Konfiguration für automatisierte Governance.

Endor Labs unterstützt alle gängigen Programmiersprachen und Paketmanager und bietet SBOM-Generierung im SPDX- und CycloneDX-Format.