Open-Source-Komponenten

Svelnor-Produkte stehen auf einem Fundament aus Open-Source-Software. Wir legen offen, welche Komponenten wir einsetzen - weil es zu unserem Anspruch an offene und ehrliche Kommunikation gehört. Echte Sicherheit entsteht aus belastbarer Architektur, nicht daraus, die verwendete Software hinter einem Schleier aus Security by Obscurity zu verstecken. Diese Seite listet die verwendeten Drittanbieter-Bestandteile mit ihrer jeweiligen Lizenz und dokumentiert unsere eigenen Beiträge zurück an die Projekte. Konkrete Versionsstände werden auf Compliance-Anfrage übermittelt.

Plattform

Komponenten der Svelnor-Plattform über alle Produkte hinweg: Reverse-Proxy, Runtime, Authentifizierung, VM-Schicht, Display-Gateway, Krypto, VPN, Observability.

Komponente	Lizenz
Traefik	MIT
SvelteKit	MIT
Tailwind CSS	MIT
Lucide Icons	ISC
Rust	MIT / Apache-2.0
axum	MIT
sqlx	MIT / Apache-2.0
PostgreSQL	PostgreSQL
webauthn-rs	MPL-2.0
totp-rs	MIT
lettre	MIT
LibreOffice	MPL-2.0
poppler	GPL-2.0
ExifTool	Artistic / GPL-1.0-or-later
gVisor	Apache-2.0
Linux KVM / QEMU	GPL-2.0
libvirt	LGPL-2.1-or-later
Firecracker	Apache-2.0
Apache Guacamole	Apache-2.0
xrdp	Apache-2.0
Selkies	MPL-2.0
Squid	GPL-2.0
Falco	Apache-2.0
OpenBao	MPL-2.0
LUKS2 / dm-crypt	GPL-2.0
Clevis + Tang	GPL-3.0
Headscale	BSD-3-Clause
WireGuard	GPL-2.0
Grafana	AGPL-3.0
Loki	AGPL-3.0
Tempo	AGPL-3.0
Mimir	AGPL-3.0
OpenTelemetry SDKs	Apache-2.0

Scan-Pipeline

Einzelne Svelnor-Produkte nutzen spezialisierte Open-Source-Engines und Analyzer für Dateiprüfung und Schadcode-Erkennung.

Komponente	Lizenz
ClamAV	GPL-2.0
YARA	BSD-3-Clause
capa	Apache-2.0
FLARE-FLOSS	Apache-2.0
oletools	BSD-2-Clause
DetectItEasy	MIT
ssdeep	GPL-2.0

Gemeinschafts-Regelsätze

Einzelne Produkte setzen Regelsätze ein, die von der Sicherheits-Forschergemeinschaft öffentlich bereitgestellt werden. Die konkret genutzten Regelsätze werden pro Release auditiert und gegen eine gepflegte Allowlist gefiltert; verwendet werden nur Regelsätze unter den folgenden Lizenzklassen:

Unsere Beiträge zurück

Wenn wir im Rahmen unserer Arbeit an Svelnor Verbesserungen an den eingesetzten Open-Source-Projekten vornehmen, reichen wir sie 1:1 beim jeweiligen Mutterprojekt ein und stellen sie damit unentgeltlich der gesamten Gemeinschaft zur Verfügung.

Aktuell sind keine Upstream-Beiträge dokumentiert. Wir pflegen diese Liste fortlaufend.

Von Svelnor veröffentlicht

Wir geben Teile unserer Arbeit selbst unter einer Open-Source-Lizenz frei, damit sie auch unabhängig von unserer gehosteten Fassung einsetzbar sind.

Svelnor Stift - AGPL-3.0
Bild-Annotations-Werkzeug für Screenshots, das vollständig im Browser läuft. Self-Hosting-taugliche OSS-Version.

Eigenentwicklung und unabhängige Prüfung

Wo Open-Source-Komponenten unsere Anforderungen nicht abdecken, entwickeln wir eigene Software als Ergänzung zum OSS-Fundament. Diese Eigenentwicklungen lassen wir regelmäßig unabhängig prüfen, damit unsere Sicherheitsaussagen nicht allein auf der eigenen Einschätzung beruhen.

Quelltext-Zugang

Für Copyleft-lizenzierte Komponenten (GPL, LGPL, AGPL, MPL) verweisen die oben verlinkten Upstream-Seiten auf die offiziellen Quelltext-Repositories. AGPL-Komponenten des Grafana-LGTM-Stacks werden unverändert eingesetzt; eine Modifikation erfolgt nicht. Auf schriftliche Anfrage an die Svelnor GmbH stellen wir die exakten Versionsstände und Build-Parameter bereit, die in der aktuell eingesetzten Produktfassung enthalten sind.

Compliance-Kontakt

Für Rückfragen zu Lizenz- oder Attributions-Themen, inklusive einer detaillierten Aufstellung der eingesetzten Rule-Set-Quellen für einen konkreten Audit-Zweck, wenden Sie sich bitte an kontakt@svelnor.de.