Open Source

SBOM-Generierung. Kostenlos. Für alle.

kunnus-scanner ist ein quelloffenes CLI-Tool, das jede Codebasis scannt und in Minuten eine standardkonforme Software Bill of Materials erzeugt.

Auf GitHub ansehen Zur vollständigen Plattform

Für CRA-Compliance gebaut. Kostenlos nutzbar.

Der EU Cyber Resilience Act verpflichtet Hersteller, für jedes ausgelieferte Produkt eine SBOM bereitzuhalten. Wir sind überzeugt, dass das Werkzeug zur SBOM-Generierung für alle frei zugänglich sein sollte – von einzelnen Entwicklern bis zu großen Engineering-Teams.

Was kunnus-scanner leistet

30+ Ökosysteme

Scannt Go, Python, JavaScript, Java, Rust, .NET, Ruby, PHP, Dart, Haskell, Erlang, R und mehr. OS-Pakete (APK, DPKG, Windows Registry) mit --include-os.

SPDX & CycloneDX

Erzeugt SPDX 2.3 und CycloneDX 1.4 / 1.5 – die beiden Formate, die vom CRA und den meisten nachgelagerten Tools akzeptiert werden.

Schwachstellenabgleich

Gleicht alle erkannten Komponenten gegen die OSV-Schwachstellendatenbank ab. Gibt eine Zusammenfassung mit Ökosystem-Aufschlüsselung und CVE-Zählungen aus.

CI/CD-Integration

Fertige GitHub Actions für SBOM-Generierung und Upload. Erkennt automatisch GitHub Actions, GitLab CI, Jenkins und generische CI-Umgebungen.

Docker-Unterstützung

Multi-Arch-Images für linux/amd64 und linux/arm64 in der GitHub Container Registry. Direkt in jede containerisierte Build-Pipeline integrierbar.

Mehrere Installationswege

Homebrew (macOS/Linux), Scoop (Windows), Docker, vorgefertigte Binaries oder aus dem Quellcode mit Go bauen. Passend für jeden Stack.

In Minuten loslegen

01Installieren

brew install think-ahead-technologies/tap/kunnus

Auch via Scoop, Docker und vorgefertigte Binaries verfügbar.

02Scannen

kunnus sbom

Scannt das aktuelle Verzeichnis rekursiv und gibt eine Zusammenfassung aus.

03Exportieren

kunnus sbom --format cyclonedx-1-5 --output sbom.cdx.json

Speichert die vollständige SBOM in eine Datei. spdx-2-3 für SPDX-Format.

GitHub Actions

SBOM-Generierung in zwei Schritten zu jedem Workflow hinzufügen.

.github/workflows/sbom.yml

- name: SBOM generieren
  uses: think-ahead-technologies/kunnus-scanner/actions/sbom@main
  with:
    output: sbom.spdx.json

- name: In Kunnus hochladen
  uses: think-ahead-technologies/kunnus-scanner/actions/upload@main
  with:
    file: sbom.spdx.json
    api-key: ${{ secrets.KUNNUS_API_KEY }}
    component-id: ${{ vars.KUNNUS_COMPONENT_ID }}
    version: ${{ github.ref_name }}

Mehr als SBOM-Generierung?

kunnus-scanner erzeugt die SBOM. Die Kunnus-Plattform übernimmt den Rest: kontinuierliches Schwachstellen-Monitoring über alle Ihre Produkte, automatische CVE-Benachrichtigungen, strukturierte CRA-Dokumentation und die Nachweiskette für Marktüberwachungsbehörden.

Was die Plattform dazu bietet Demo vereinbaren

Apache 2.0 lizenziert

kunnus-scanner ist kostenlos nutzbar, modifizierbar und verteilbar. Basiert auf Googles osv-scalibr. Beiträge willkommen.

Quellcode auf GitHub