Open Source Readiness
Open Source Resilience Readiness Workspace
Systematische Bewertung der Open-Source-Resilienz in KI-Umgebungen inklusive SBOM-Reifegrad und Supply-Chain-Sicherheit.
Hinweis: Diese Inhalte sind generische Umsetzungshilfen und ersetzen keine Rechtsberatung, keine aufsichtsrechtliche Auslegung, keine aufsichtsverbindliche Einreichung und keine institutsspezifische Prüfung.
6
Kritisch/Hohes Risiko
7
Fehlende SBOM
6
Kein Patch-Prozess
8
Bewertungspunkte
| Kategorie | Komponente | Risiko | Aktueller Zustand | SBOM | Patch-Prozess | Erforderliche Massnahme |
|---|---|---|---|---|---|---|
| KI-Framework-Sicherheit | TensorFlow, PyTorch, LangChain, LlamaIndex | hoch | OSS-Bibliotheken werden genutzt ohne systematisches Sicherheits-Scannen | Nein | Nein | Automatisiertes Security-Scannen aller KI-Framework-Dependencies in der CI/CD-Pipeline |
| KI-Modell-Quellen | HuggingFace, GitHub, GitLab, eigene Registry | kritisch | Modelle werden direkt aus öffentlichen Quellen bezogen ohne Integritätsprüfung | Nein | Nein | Modell-Integritätsprüfung vor Nutzung, eigene Modell-Registry aufbauen |
| SBOM für KI-Anwendungen | Machine-Learning-Pipelines, Inference-Services | hoch | Keine SBOMs für KI-Anwendungen vorhanden | Nein | Nein | Automatische SBOM-Erstellung für jede KI-Anwendung im Build-Prozess |
| Transitive Abhängigkeiten in KI-Projekten | Python-Pakete (PyPI), Node.js (npm), Container-Base-Images | hoch | Transitive Abhängigkeiten werden nicht systematisch erfasst und überwacht | Nein | Ja | SBOM-Tiefenscanning für transitive Abhängigkeiten, regelmässige Updates |
| OSS-Lizenz-Compliance für KI | KI-Modell-Lizenzen, Forschungsnutzung, kommerzielle Nutzung | mittel | Lizenzprüfung nur manuell, KI-spezifische Lizenzen nicht erfasst | Ja | Nein | Automatisierte Lizenzprüfung für KI-Komponenten, Rechtliche Bewertung von KI-Lizenzen |
| Container-Images für KI-Workloads | GPU-Container, ML-Worker-Images, Serving-Container | hoch | Container-Base-Images werden nicht regelmässig gescannt und aktualisiert | Nein | Nein | Regelmässiges Container-Image-Scanning, Minimal-Base-Images verwenden |
| KI-Entwicklungsumgebungen | Jupyter Notebooks, VS Code Extensions, MLFlow | mittel | Entwicklungsumgebungen nutzen OSS-Erweiterungen ohne Sicherheitsprüfung | Nein | Ja | Erweiterte Sicherheitsrichtlinie für KI-Entwicklungstools, regelmässige Updates |
| KI-Lieferanten-SBOM-Anforderungen | Dienstleister-KI-Komponenten, eingekaufte KI-Modelle | hoch | Keine vertraglichen SBOM-Anforderungen an KI-Lieferanten | Nein | Nein | SBOM-Klauseln in KI-Dienstleisterverträge aufnehmen, regelmässige Lieferantenbewertungen |
OSS-Resilienz verbessern?
Vereinbaren Sie ein Pilotgespräch für den Open Source Resilience Readiness Workspace.
Pilotgespräch anfragen