Jede Dependency. Direkt, transitiv, mit komplexen SPDX-Ausdrücken. Kategorisiert als Permissive / Weak Copyleft / Strong Copyleft / Unknown. Überschreibe die Regeln passend zu eurer Legal-Posture, ignoriere interne Pakete, ship ohne Überraschungen.
Automatische SPDX-Extraktion, ausdrucksbewusste Risiko-Bewertung, Organisations-Overrides, manuelle Zuordnung für Unknowns, Ignore pro Paket und Ökosystem-Filter. Alles, was Legal braucht, direkt neben den SCA-Findings.
Lizenzen werden zur Scan-Zeit aus den Paket-Metadaten gezogen. Kein zusätzlicher Job zu planen, kein separates Tool zu installieren. Direkte Dependencies, transitive Dependencies und Dev-Dependencies tragen ihren erkannten SPDX-Identifier ins Dashboard.
Permissive (MIT, Apache-2.0, BSD-2-Clause, ISC), Weak Copyleft (LGPL-2.1, MPL-2.0, EPL-2.0), Strong Copyleft (GPL-3.0, AGPL-3.0, SSPL-1.0) oder Unknown, wenn das Manifest schweigt. Eingebaute Defaults, die Legal-Teams direkt erkennen.
MIT OR GPL-3.0-only löst zur am wenigsten restriktiven Option auf (Permissive). MIT AND GPL-3.0-only löst zur restriktivsten auf (High). GPL-2.0-only WITH Classpath-exception-2.0 bewertet die Basis mit angewandter Ausnahme.
Wenn euer Legal-Team LGPL-2.1 als Permissive behandelt, überschreibst du es einmal auf Org-Ebene und jedes Projekt erbt die neue Klassifizierung sofort. Reset auf Defaults, wann immer sich die Policy ändert.
Wenn das Manifest keine Lizenz deklariert, landet das Paket im Unknown-Bucket. Wähl den korrekten SPDX-Identifier aus dem Dropdown, und das Paket re-kategorisiert sich automatisch.
Toggle das Ignore-Flag an jedem Paket. Interne Monorepo-Module, Test-Fixtures, reines Dev-Tooling. Sie verschwinden aus dem License-Summary, bleiben aber im Detail-View sichtbar.
Drei Gründe, warum Engineering, Security und Legal am selben Dashboard landen statt in drei verschiedenen Spreadsheets.
Jeder SPDX-Identifier mappt auf eine Kategorie, die euer Team besitzt. Overrides der Defaults, eigene proprietäre Lizenzen hinzufügen, Reset bei jeder Policy-Änderung. Ohne die Plattform zu verlassen.
Die License-Extraktion teilt sich den Manifest-Parse-Step, den der SCA-Scan eh schon macht. Gleicher Trigger, gleiches Scan-Fenster, keine zweite Pipeline zu pflegen.
Engineering filtert nach Branch und Ökosystem, um sich auf das eigene Zeug zu fokussieren. Legal filtert nach Risiko, um GPL- oder AGPL-Exposure zu reviewen. Beide arbeiten an der gleichen Source of Truth.
License-Extraktion läuft bei jedem SCA-Scan über npm / Yarn / pnpm / Bun / Deno, pip / Poetry / Pipenv, Maven / Gradle, Go Modules, NuGet, Composer, Cargo, CocoaPods / Swift PM, Pub, Hex, RubyGems, Conan, Clojars und GitHub Actions.
Alle Integrationen durchstöbernJeder SPDX-Identifier mappt auf eine von vier Kategorien: Permissive, Weak Copyleft, Strong Copyleft oder Unknown. Basis ist eine eingebaute Klassifizierung mit 100+ Lizenzen. Organisationen können jede Klassifizierung passend zur Legal-Policy überschreiben; Overrides greifen sofort für jedes Projekt der Org.
Das Paket landet im Unknown-Bucket. Im License-Summary öffnest du das Paket und vergibst den korrekten SPDX-Identifier manuell; das Paket re-kategorisiert sich und feedet die richtigen Counter im Summary. Unknown-Lizenzen tauchen im Dashboard zuerst auf, damit sie sich nicht still ansammeln.
Nein. Die License-Extraktion nutzt den Manifest-Parse-Step wieder, den der SCA-Scan eh ausführt. Kein separater Job, keine zweite Pipeline, kein zusätzliches Scan-Fenster. License-Daten erscheinen im selben Dashboard neben den Vulnerability-Findings.
Ja. Die Konfiguration auf Org-Ebene akzeptiert eigene Einträge mit gewählter Klassifizierung (Permissive, Weak Copyleft, Strong Copyleft oder Unknown). Nützlich für In-House-Lizenzen oder Vendor-Verträge, die nicht zu SPDX gehören, aber neben Open-Source-Lizenzen getrackt werden müssen.
OR wählt die am wenigsten restriktive Option (`MIT OR GPL-3.0-only` → effektives Risiko None). AND wählt die restriktivste Option (`MIT AND GPL-3.0-only` → effektives Risiko High). WITH bewertet die Basis-Lizenz mit angewandter Ausnahme (`GPL-2.0-only WITH Classpath-exception-2.0` → GPL-2.0 mit Classpath-Exception). Das Dashboard zeigt sowohl den Roh-Ausdruck als auch die aufgelöste Kategorie.
Keine Kreditkarte. Kein Setup-Call. Wähle deinen Agent, kopiere den Befehl, und Cybe setzt deine Regeln ab dem nächsten Prompt durch.
claude mcp add cybedefend --transport http https://mcp-eu.cybedefend.com/mcpGehostetes MCP, keine Installation. Einfach die URL bei deinem Agent registrieren.