Open-Source-Komponenten

Dernium-Produkte stehen auf einem Fundament aus Open-Source-Software. Wir legen offen, welche Komponenten wir einsetzen - weil es zu unserem Anspruch an offene und ehrliche Kommunikation gehört. Echte Sicherheit entsteht aus belastbarer Architektur, nicht daraus, die verwendete Software hinter einem Schleier aus Security by Obscurity zu verstecken. Diese Seite listet die verwendeten Drittanbieter-Bestandteile mit ihrer jeweiligen Lizenz und dokumentiert unsere eigenen Beiträge zurück an die Projekte. Konkrete Versionsstände werden auf Compliance-Anfrage übermittelt.

Plattform

Komponenten der Dernium-Plattform über alle Produkte hinweg: Reverse-Proxy, Runtime, Authentifizierung, VM-Schicht, Display-Gateway, Krypto, VPN, Observability.

KomponenteLizenz
TraefikMIT
nginxBSD-2-Clause
SvelteKitMIT
Tailwind CSSMIT
Lucide IconsISC
zxcvbn-tsMIT
node-qrcodeMIT
Inter (Schriftart)OFL-1.1
Source Sans 3 (Schriftart)OFL-1.1
RustMIT / Apache-2.0
axumMIT
sqlxMIT / Apache-2.0
PostgreSQLPostgreSQL
TimescaleDBApache-2.0 (Community)
NATSApache-2.0
ValkeyBSD-3-Clause
PostfixIPL-1.0 / EPL-2.0
WeasyPrintBSD-3-Clause
KoSIT ValidatorApache-2.0
continuwuity (Matrix-Homeserver)Apache-2.0
Element CallAGPL-3.0
LiveKitApache-2.0
coturnBSD-3-Clause
Element WebAGPL-3.0
CryptPadAGPL-3.0
OnlyOffice Document ServerAGPL-3.0
webauthn-rsMPL-2.0
totp-rsMIT
lettreMIT
LibreOfficeMPL-2.0
popplerGPL-2.0
ExifToolArtistic / GPL-1.0-or-later
gVisorApache-2.0
Linux KVM / QEMUGPL-2.0
libvirtLGPL-2.1-or-later
cloud-initGPL-3.0 / Apache-2.0
Alpine Linuxverschiedene (überwiegend MIT, BSD, GPL)
OpenRCBSD-2-Clause
Ubuntu (Noble)verschiedene (überwiegend GPL, MIT, BSD)
systemdLGPL-2.1-or-later
Docker (Moby Engine)Apache-2.0
linuxserver/webtopGPL-3.0
i3 (window manager)BSD-3-Clause
redroid (Android-in-Container)Apache-2.0
ws-scrcpyMIT
scrcpyApache-2.0
Apache GuacamoleApache-2.0
xrdpApache-2.0
SelkiesMPL-2.0
nftablesGPL-2.0
fail2banGPL-2.0
UnboundBSD-3-Clause
doh-server (DNS-over-HTTPS)MIT
tun2proxyMIT
fscrypt (ext4 native)Apache-2.0
chronyGPL-2.0
SquidGPL-2.0
FalcoApache-2.0
SQLCipherBSD-3-Clause
LUKS2 / dm-cryptGPL-2.0
Clevis + TangGPL-3.0
HeadscaleBSD-3-Clause
Tailscale (Open-Source-Client)BSD-3-Clause
WireGuardGPL-2.0
wireguard-toolsGPL-2.0
BorgBackupBSD-3-Clause
diunMIT
ForgejoMIT
Woodpecker CIApache-2.0
GrafanaAGPL-3.0
PrometheusApache-2.0
cAdvisorApache-2.0
LokiAGPL-3.0
PromtailAGPL-3.0
TempoAGPL-3.0
MimirAGPL-3.0
AlertmanagerApache-2.0
OpenTelemetry SDKsApache-2.0

Scan-Pipeline

Einzelne Dernium-Produkte nutzen spezialisierte Open-Source-Engines und Analyzer für Dateiprüfung und Schadcode-Erkennung.

Gemeinschafts-Regelsätze

Einzelne Produkte setzen Regelsätze ein, die von der Sicherheits-Forschergemeinschaft öffentlich bereitgestellt werden. Die konkret genutzten Regelsätze werden pro Release auditiert und gegen eine gepflegte Allowlist gefiltert; verwendet werden nur Regelsätze unter den folgenden Lizenzklassen:

Unsere Beiträge zurück

Wenn wir im Rahmen unserer Arbeit an Dernium Verbesserungen an den eingesetzten Open-Source-Projekten vornehmen, reichen wir sie 1:1 beim jeweiligen Mutterprojekt ein und stellen sie damit unentgeltlich der gesamten Gemeinschaft zur Verfügung.

Aktuell sind keine Upstream-Beiträge dokumentiert. Wir pflegen diese Liste fortlaufend.

Von Dernium veröffentlicht

Wir geben Teile unserer Arbeit selbst unter einer Open-Source-Lizenz frei, damit sie auch unabhängig von unserer gehosteten Fassung einsetzbar sind.

  • Dernium Stift - EUPL-1.2
    Bild-Annotations-Werkzeug für Screenshots, das vollständig im Browser läuft. Self-Hosting-taugliche OSS-Version.

Eigenentwicklung und unabhängige Prüfung

Wo Open-Source-Komponenten unsere Anforderungen nicht abdecken, entwickeln wir eigene Software als Ergänzung zum OSS-Fundament. Diese Eigenentwicklungen legen wir für unabhängige Prüfung offen, damit unsere Sicherheitsaussagen nicht allein auf der eigenen Einschätzung beruhen.

Quelltext-Zugang

Für Copyleft-lizenzierte Komponenten (GPL, LGPL, AGPL, MPL) verweisen die oben verlinkten Upstream-Seiten auf die offiziellen Quelltext-Repositories. AGPL-Komponenten des Grafana-LGTM-Stacks werden unverändert eingesetzt; eine Modifikation erfolgt nicht. Auf schriftliche Anfrage an die Dernium GmbH stellen wir die exakten Versionsstände und Build-Parameter bereit, die in der aktuell eingesetzten Produktfassung enthalten sind.

Compliance-Kontakt

Für Rückfragen zu Lizenz- oder Attributions-Themen, inklusive einer detaillierten Aufstellung der eingesetzten Rule-Set-Quellen für einen konkreten Audit-Zweck, wenden Sie sich bitte an kontakt@dernium.de.