Alle AWS Marketplace-Produkte
FerroSCA
Security

FerroSCA

Rust-nativer SBOM / SCA- und Vulnerability-Management-Server

Bootzeit unter einer Sekunde, <256 MB RAM Ersetzter AWS-Dienst: OWASP Dependency-Track
Im AWS Marketplace erwerben

Ein Rust-nativer SBOM / SCA- und Vulnerability-Management-Server. Er nimmt CycloneDX- und SPDX-SBOMs auf, bewertet Findings mit CVSS und EPSS und stellt Ergebnisse über eine REST API bereit. Er läuft als einzelner Rust-Prozess — kein JVM, keine separate Front-end-Tier, keine separate Worker-Tier — startet in unter einer Sekunde und bettet sein Dashboard in dasselbe Binary ein. Gehärtete Amazon Linux 2023 AMI (arm64 / Graviton).

FerroSCA nimmt CycloneDX 1.4 / 1.5 / 1.6 (JSON und XML) sowie SPDX 2.2 / 2.3 SBOMs auf, korreliert die Komponenten mit öffentlichen Vulnerability-Daten (NVD JSON 2.0, OSV, öffentliche Advisory-Feeds und der CISA KEV-Katalog), bewertet Findings mit CVSS v2 / v3 / v4 und EPSS, evaluiert Policy und stellt Ergebnisse über eine REST API bereit. Es unterstützt Package URL 0.6- und CPE 2.3-Identifier, distro-aware Matching für Alpine / Debian / Ubuntu Base Images, eine Policy Engine mit 30+ Bedingungen und SPDX License Detection. Benachrichtigungen erfolgen über Email und Webhook. Authentifizierung umfasst Local-User (SHA3-256 API keys), OIDC und LDAP (gated), mit TLS über rustls und projektbezogener ACL auf Mutations. Die API ist eine FerroSCA-native REST API (Standard) plus eine opt-in Dependency-Track REST API v1 wire-kompatible Edition (dtrack-compat) für Migration. Ehrlicher Scope: Die Dependency-Track API hat 100% Path Coverage, aber etwa 69% Deep-Schema (Presence Symmetry, keine Field-Level Fidelity) — niemals als 100% wire-kompatibel oder Drop-in vermarktet; MySQL ist ausgeschlossen, und die unterstützte Marketplace-Topologie ist Single-Node. Engineering: #![forbid(unsafe_code)] in jeder Crate, clippy sauber bei -D warnings, kein unwrap() in Produktionscode, cargo deny Gate, CycloneDX SBOM + Self-VDR in CI und fuzz-getestete Parser.

Das Problem

Die Sicherheit der Software-Supply-Chain erfordert einen Server, der SBOMs (CycloneDX / SPDX) einliest, Abhängigkeitskomponenten mit öffentlichen Schwachstellendaten korreliert, sie mit CVSS und EPSS bewertet und sie unter Richtlinien kontinuierlich überwacht. Ein typischer SCA- / Schwachstellenmanagement-Server besteht meist aus einem mehrschichtigen Stack — JVM, separates Frontend, separate Worker, externe Datenbank — was betrieblich aufwendig ist. Benötigt wird ein schlanker SBOM- / SCA-Server, zu dem auch die Migration einfach ist.

Funktionsweise

  1. 1

    Liest SBOMs ein und bewertet sie

    FerroSCA liest CycloneDX 1.4 / 1.5 / 1.6 (JSON / XML) und SPDX 2.2 / 2.3-SBOMs ein, korreliert Komponenten mit NVD JSON 2.0, OSV, öffentlichen Advisory-Feeds sowie CISA KEV und bewertet die Ergebnisse mit CVSS v2 / v3 / v4 und EPSS. Es unterstützt Package URL 0.6- und CPE 2.3-Identifikatoren sowie distributionsspezifisches Matching für Alpine / Debian / Ubuntu.

  2. 2

    Aus einem einzigen Prozess bereitgestellt

    Ergebnisse werden über eine REST API bereitgestellt, und das Dashboard is im selben Binary eingebettet. Es läuft als einzelner Rust-Prozess — keine JVM, keine separate Frontend-Ebene, keine separate Worker-Ebene — startet in weniger als einer Sekunde und benötigt im Leerlauf weniger als ca. 256 MB RAM. Es enthält eine Policy-Engine mit 30+ Bedingungen und eine SPDX-Lizenzkennung.

  3. 3

    Native API + eine DT-kompatible Edition

    Standardmäßig stellt es eine FerroSCA-native REST API bereit, und für die Migration können Sie eine mit der Dependency-Track REST API v1 wire-kompatible Edition (dtrack-compat) wählen. Die Authentifizierung erfolgt über lokale Benutzer (SHA3-256-API-Schlüssel), OIDC und LDAP (gated); TLS über rustls; ACL auf Projektebene bei Mutationen; Benachrichtigungen über E-Mail und Webhook.

Highlights

SBOM-Ingest (CycloneDX 1.4–1.6 JSON / XML, SPDX 2.2 / 2.3) plus Vulnerability Intelligence (NVD, OSV, öffentliche Advisories, CISA KEV), bewertet mit CVSS v2 / v3 / v4 + EPSS.

Ein einzelner Rust-Prozess — kein JVM, keine separate Front-end- oder Worker-Tier; Start unter einer Sekunde, Idle unter 256 MB RAM, mit im Binary eingebettetem Dashboard.

Standardmäßig FerroSCA-native REST API, plus eine opt-in Dependency-Track REST API v1 wire-kompatible Edition für Migration. Ehrlicher Scope: DT API ist path-kompatibel (~69% Deep-Schema), Single-Node, MySQL ausgeschlossen.

Lieferumfang

  • Gehärtete Amazon Linux 2023 AMI (arm64 / Graviton, läuft auf t4g / c7g / m7g / r7g-Klasse)
  • Ein einzelnes Rust-Binary, das den SBOM- / SCA- und Schwachstellenmanagement-Server implementiert (keine JVM, keine separate Frontend-/Worker-Ebene, Startzeit unter einer Sekunde, unter 256 MB RAM, Dashboard eingebettet)
  • SBOM-Ingest: CycloneDX 1.4 / 1.5 / 1.6 (JSON / XML) + SPDX 2.2 / 2.3, mit Export nach CycloneDX, SPDX, VDR und VEX
  • Schwachstellen-Intelligence: NVD JSON 2.0, OSV, öffentliche Advisory-Feeds und CISA KEV, mit EPSS-Enrichment, Verarbeitung von CSAF 2.0 / VEX 1.4 und Air-Gapped-Mirror-Import
  • CVSS v2 / v3 / v4 + EPSS-Scoring, Package URL 0.6 / CPE 2.3, distributionsspezifisches Matching für Alpine / Debian / Ubuntu sowie eine Policy-Engine mit 30+ Bedingungen plus SPDX-Lizenzkennung
  • Eine FerroSCA-native REST API (Standard) plus eine opt-in Dependency-Track REST API v1 wire-kompatible Edition, E-Mail- / Webhook-Benachrichtigungen, Authentifizierung über lokale Benutzer (SHA3-256-API-Schlüssel) / OIDC / LDAP, rustls TLS und ACL auf Projektebene
  • Keine separate Control-Plane, kein Telemetrie-Home-Call und keine Lizenzschlüsselprüfung (die Abrechnung erfolgt pro Instanz und Stunde über Ihre AWS-Rechnung)

Anwendungsfälle

Einlesen von in der CI/CD erstellten SBOMs (CycloneDX / SPDX) und kontinuierliche Überwachung von Abhängigkeitskomponenten auf Schwachstellen

Teams, die einen schlanken Single-Binary SBOM- / SCA-Server auf ihren eigenen EC2-Instanzen anstelle eines JVM-basierten, mehrschichtigen Stacks betreiben möchten

Migration von Dependency-Track über die mit der REST API v1 wire-kompatible Edition

Ausführen eines Schwachstellenmanagement-Servers vollständig innerhalb Ihrer eigenen VPC, ohne separate Control-Plane und ohne Telemetrie-Home-Call

FAQ

Welche SBOM-Formate werden unterstützt?

Der Ingest unterstützt CycloneDX 1.4 / 1.5 / 1.6 (JSON und XML) und SPDX 2.2 / 2.3, mit Export nach CycloneDX, SPDX, VDR und VEX. Es bietet Streaming-Uploads, eine Obergrenze für den Arbeitsspeicher und tokenbasierte asynchrone Verarbeitung.

Woher stammen die Schwachstellendaten?

Aus NVD JSON 2.0, OSV, öffentlichen Advisory-Feeds und dem CISA KEV-Katalog, angereichert mit EPSS. Es verarbeitet zudem CSAF 2.0 / VEX 1.4 und unterstützt den Air-Gapped-Mirror-Import.

Ist es mit Dependency-Track kompatibel?

Standardmäßig wird die FerroSCA-native REST API verwendet. Für die Migration können Sie sich für eine mit der Dependency-Track REST API v1 wire-kompatible Edition (dtrack-compat) entscheiden. Offen gesagt bietet die Dependency-Track API jedoch 100% Pfadabdeckung, aber nur ca. 69% Tiefenschema (Präsenzsymmetrie, keine Feldtreue) — sie wird niemals als 100% wire-kompatibel oder als Drop-in-Ersatz beworben, und MySQL ist ausgeschlossen.

Ist dies ein Ersatz für einen AWS-Service?

FerroSCA ist im Open-Source-Bereich für SBOM / SCA und Schwachstellenmanagement angesiedelt und versteht sich nicht als Ersatz für einen bestimmten AWS-Service. Es ist ein selbstverwalteter Server, der auf Ihren eigenen Amazon EC2-Instanzen läuft und als normale Amazon Linux 2023 AMI (arm64 / Graviton) bereitgestellt wird, die Sie in Ihrer eigenen VPC ausführen.

Wie sieht es mit Topologie und Sicherheitskonzept aus?

Die unterstützte Marketplace-Topologie ist Single-Node. Die Authentifizierung erfolgt über lokale Benutzer (SHA3-256-API-Schlüssel), OIDC und LDAP (gated); TLS über rustls; ACL auf Projektebene bei Mutationen. Im Bereich Engineering: #![forbid(unsafe_code)] in jedem Crate, clippy clean bei -D warnings, kein unwrap() im Produktionscode, ein cargo-deny-Gate, eine CycloneDX-SBOM + self-VDR in der CI sowie Fuzz-getestete Parser.

Preismodell

Stündliche Softwaregebühr + EC2 (t4g / c7g / m7g / r7g-Klasse, Arm). Abrechnung pro Instance-Typ.

Im AWS Marketplace erwerben

Weitere S4-Produkte

S4 — Squished S3
Speicher & Daten

S4 — Squished S3

Transparenter GPU S3-Komprimierungs-Gateway

50–80% weniger Speicher-Bytes
Ersetzt: Amazon S3-Speicher
S4 Logs
Observability

S4 Logs

CloudWatch Logs nach zstd S3 archivieren

70–90% Ersparnis bei CloudWatch Logs
Ersetzt: Amazon CloudWatch Logs
S4 Metrics
Observability

S4 Metrics

CloudWatch Metric-Cardinality steuern

Metrik-Kardinalitätskosten bändigen
Ersetzt: CloudWatch Custom Metrics