Wir veröffentlichen heute kunnus-scanner als Open Source – ein kostenloses, unter Apache 2.0 lizenziertes Kommandozeilenwerkzeug zur Generierung von Software Bills of Materials. Das Tool scannt Ihre Projektabhängigkeiten über mehr als 30 Paket-Ökosysteme und erzeugt standardkonforme SBOMs in den Formaten SPDX 2.3 und CycloneDX.
Kein Konto erforderlich. Kein API-Key. Einfach installieren und loslegen.
Warum wir das gebaut haben
Der EU Cyber Resilience Act verpflichtet Hersteller, für jedes ausgelieferte Produkt eine aktuelle SBOM bereitzuhalten. Die Generierung dieser SBOMs ist ein technisches Problem – und wir sind der Überzeugung, dass das Werkzeug dafür für alle frei zugänglich sein sollte.
kunnus-scanner übernimmt die Scanning-Schicht: Das Tool liest Ihre Lockfiles, löst Abhängigkeiten auf, gleicht gegen die OSV-Schwachstellendatenbank ab und gibt eine standardkonforme SBOM in dem Format aus, das Ihr Workflow benötigt. Das Ergebnis lässt sich direkt in die Kunnus-Plattform für kontinuierliches Schwachstellenmanagement und CRA-Dokumentation einbinden – funktioniert aber auch als eigenständiges Tool.
Wir haben kunnus-scanner auf Basis von Googles osv-scalibr aufgebaut – derselben Engine, die hinter mehreren großen Vulnerability-Scanning-Pipelines im Produktionsbetrieb steckt. Wir haben sie mit einer CLI umhüllt, die konsequent auf den CRA-Compliance-Workflow ausgerichtet ist: klare Ausgabe, Formatflexibilität und native CI/CD-Integration.
Was kunnus-scanner abdeckt
Der Scanner unterstützt von Haus aus über 30 Sprachen und Paketmanager-Ökosysteme:
- Go (go.mod, kompilierte Binaries)
- JavaScript / Node.js (npm, Yarn, pnpm, Bun Lockfiles)
- Python (pip, Poetry, Pipenv, PDM, UV)
- Java (Maven, Gradle mit Transitivabhängigkeits-Enrichment)
- Rust (Cargo.lock mit Audit-Daten)
- C / C++ (Conan)
- .NET (NuGet in allen Formaten)
- Ruby (Gemfile.lock)
- PHP (Composer)
- Dart / Flutter (pubspec.lock)
- Haskell (Cabal, Stack)
- Erlang (mix.lock)
- R (renv.lock)
- OS-Pakete (Alpine APK, Debian DPKG, Windows Registry) mit
--include-os
Für jede Abhängigkeit erfasst das Tool Name, Version, Lizenz, Hersteller und eine PURL- oder CPE-Kennung – die Metadaten, die für den Abgleich mit Schwachstellendatenbanken erforderlich sind.
In drei Befehlen loslegen
Installation via Homebrew:
brew install think-ahead-technologies/tap/kunnus
Aktuelles Projekt scannen:
kunnus sbom
In eine Datei im CycloneDX-Format speichern:
kunnus sbom --format cyclonedx-1-5 --output sbom.cdx.json
Das war's. Der Scanner durchsucht Ihren Verzeichnisbaum, findet alle unterstützten Lockfiles, löst alle direkten und transitiven Abhängigkeiten auf und gibt eine vollständige SBOM aus.
CI/CD-Integration mit GitHub Actions
Für Teams, die mit GitHub Actions arbeiten, stellen wir fertige Actions sowohl für das Scannen als auch für das Hochladen bereit:
- name: SBOM generieren
uses: think-ahead-technologies/kunnus-scanner/actions/sbom@main
with:
output: sbom.spdx.json
- name: In Kunnus hochladen
uses: think-ahead-technologies/kunnus-scanner/actions/upload@main
with:
file: sbom.spdx.json
api-key: ${{ secrets.KUNNUS_API_KEY }}
component-id: ${{ vars.KUNNUS_COMPONENT_ID }}
version: ${{ github.ref_name }}
Die Scanner-Action läuft bei jedem Push. Die Upload-Action überträgt das Ergebnis in die Kunnus-Plattform, wo es gegen die OSV-Datenbank abgeglichen und Ihrer CRA-Compliance zugeordnet wird. Sie können beide Actions auch unabhängig voneinander nutzen – wenn Sie SBOMs bereits anderweitig hochladen, liefert die Scanner-Action trotzdem eine saubere, standardkonforme Ausgabe ohne zusätzliche Kosten.
Docker für containerisierte Workflows
Für containerisierte Build-Umgebungen:
docker run --rm \
-v $(pwd):/workspace \
ghcr.io/think-ahead-technologies/kunnus-scanner:latest \
sbom --output /workspace/sbom.spdx.json
Vorgefertigte Multi-Arch-Images für linux/amd64 und linux/arm64 werden mit jedem Release in die GitHub Container Registry veröffentlicht.
Das Verhältnis zur Kunnus-Plattform
kunnus-scanner liefert die SBOM-Generierung. Die Kunnus-Plattform bietet alles darüber hinaus: kontinuierliches Schwachstellen-Monitoring über alle Ihre Produkte, automatische Benachrichtigungen bei neuen CVEs, die Ihre ausgelieferten Komponenten betreffen, strukturierte CRA-Dokumentation, Unterstützung bei der Konformitätsbewertung und die Nachweiskette, die Sie bei der Marktüberwachung brauchen.
Der Scanner ist das Fundament. Die Plattform macht aus einer einzelnen SBOM einen operativen Compliance-Workflow, der über Produktlinien und Teams hinweg skaliert.
Wenn Sie beides evaluieren möchten, beginnen Sie mit dem Scanner. Erstellen Sie Ihre erste SBOM in fünf Minuten, sehen Sie, was er findet – und vereinbaren Sie dann eine Demo, um zu verstehen, wie er in einen vollständigen CRA-Compliance-Workflow passt.
Open Source unter Apache 2.0
kunnus-scanner wird unter der Apache 2.0-Lizenz veröffentlicht. Der vollständige Quellcode ist unter github.com/think-ahead-technologies/kunnus-scanner verfügbar. Beiträge, Issues und Feature-Requests sind willkommen.
Wenn Sie einen CRA-Compliance-Workflow aufbauen und verstehen möchten, wie Ihr aktueller SBOM-Prozess aufgestellt ist, zeigt Ihnen unsere kostenlose CRA-Reifegradanalyse in etwa fünf Minuten, wo Sie stehen.