Zum Inhalt springen

Open Source Readiness

Open Source Resilience Readiness Workspace

Systematische Bewertung der Open-Source-Resilienz in KI-Umgebungen inklusive SBOM-Reifegrad und Supply-Chain-Sicherheit.

Hinweis: Diese Inhalte sind generische Umsetzungshilfen und ersetzen keine Rechtsberatung, keine aufsichtsrechtliche Auslegung, keine aufsichtsverbindliche Einreichung und keine institutsspezifische Prüfung.

6

Kritisch/Hohes Risiko

7

Fehlende SBOM

6

Kein Patch-Prozess

8

Bewertungspunkte

Kategorie Komponente Risiko Aktueller Zustand SBOM Patch-Prozess Erforderliche Massnahme
KI-Framework-Sicherheit TensorFlow, PyTorch, LangChain, LlamaIndex hoch OSS-Bibliotheken werden genutzt ohne systematisches Sicherheits-Scannen Nein Nein Automatisiertes Security-Scannen aller KI-Framework-Dependencies in der CI/CD-Pipeline
KI-Modell-Quellen HuggingFace, GitHub, GitLab, eigene Registry kritisch Modelle werden direkt aus öffentlichen Quellen bezogen ohne Integritätsprüfung Nein Nein Modell-Integritätsprüfung vor Nutzung, eigene Modell-Registry aufbauen
SBOM für KI-Anwendungen Machine-Learning-Pipelines, Inference-Services hoch Keine SBOMs für KI-Anwendungen vorhanden Nein Nein Automatische SBOM-Erstellung für jede KI-Anwendung im Build-Prozess
Transitive Abhängigkeiten in KI-Projekten Python-Pakete (PyPI), Node.js (npm), Container-Base-Images hoch Transitive Abhängigkeiten werden nicht systematisch erfasst und überwacht Nein Ja SBOM-Tiefenscanning für transitive Abhängigkeiten, regelmässige Updates
OSS-Lizenz-Compliance für KI KI-Modell-Lizenzen, Forschungsnutzung, kommerzielle Nutzung mittel Lizenzprüfung nur manuell, KI-spezifische Lizenzen nicht erfasst Ja Nein Automatisierte Lizenzprüfung für KI-Komponenten, Rechtliche Bewertung von KI-Lizenzen
Container-Images für KI-Workloads GPU-Container, ML-Worker-Images, Serving-Container hoch Container-Base-Images werden nicht regelmässig gescannt und aktualisiert Nein Nein Regelmässiges Container-Image-Scanning, Minimal-Base-Images verwenden
KI-Entwicklungsumgebungen Jupyter Notebooks, VS Code Extensions, MLFlow mittel Entwicklungsumgebungen nutzen OSS-Erweiterungen ohne Sicherheitsprüfung Nein Ja Erweiterte Sicherheitsrichtlinie für KI-Entwicklungstools, regelmässige Updates
KI-Lieferanten-SBOM-Anforderungen Dienstleister-KI-Komponenten, eingekaufte KI-Modelle hoch Keine vertraglichen SBOM-Anforderungen an KI-Lieferanten Nein Nein SBOM-Klauseln in KI-Dienstleisterverträge aufnehmen, regelmässige Lieferantenbewertungen

OSS-Resilienz verbessern?

Vereinbaren Sie ein Pilotgespräch für den Open Source Resilience Readiness Workspace.

Pilotgespräch anfragen