Quellenbasierte Software-Lieferketten

Der Abhängigkeitsatlas für öffentlichen KI-Code

Sieh, welche exakten Paketversionen den veröffentlichten KI-Code der deutschen Verwaltung tragen – und wo Konzentration, Lizenzdaten, Versionsalter und OSV-Meldungen tatsächlich prüfbar sind.

Lockfiles und SBOMsnur exakte Versionendeps.dev und OSVkeine generative KI
Datenstand 19. Juli 2026Beobachtet seit 18. Juli 202630 Repositories in der exakten Kohorte
Die Prüfgrenze

Eine OSV-Meldung belegt keine Ausnutzbarkeit.

Der Atlas sendet ausschließlich beobachtete, exakt aufgelöste Paketversionen an OSV. Ein Treffer belegt weder Erreichbarkeit noch produktiven Einsatz; keine zurückgegebene Meldung bedeutet nicht, dass ein Paket sicher ist.

nur aufgelöstes paket@version
Exaktes Lieferketten-Lagebild

Was trägt den veröffentlichten KI-Stack der Verwaltung?

Die Kohorte beginnt bei Repositories mit exakter KI-Code-Evidenz. Lockfiles, SBOMs und exakte Pins machen Paketidentitäten sichtbar, ohne Versionsbereiche durch geratene Versionen zu ersetzen.

29Repositories mit aufgelöster Evidenz
4.205geprüfte exakte Paketversionen
572aktuelle OSV-Meldungen

Von KI-Code-Evidenz zur prüfbaren Version

Jede Stufe behält ihren eigenen Nenner. Ein fehlendes Lockfile in einem unvollständigen Baum bleibt nicht prüfbar – nicht null.

  1. 0130

    Code-Radar-Kohorte

  2. 0220

    mit Lockfile oder SBOM

  3. 0320

    mit aufgelösten Komponenten

  4. 044.205

    an OSV gesendete exakte Versionen

Am weitesten verbreitete KI-Pakete

Repository-Präsenz innerhalb der exakten Kohorte aus 30 Repositories. Das ist kein Marktanteil.

  1. OpenAI SDK18
  2. scikit-learn13
  3. tiktoken12
  4. PyTorch10
  5. Hugging Face Tokenizers9
  6. Transformers8
  7. LangChain6
  8. LangGraph6
  9. LangChain Core5
  10. LangChain OpenAI5

Provider-Schnittstellen im veröffentlichten Code

Ein Schnittstellenpaket kann einen Provider ermöglichen; es belegt weder Konto, Konfiguration, Beschaffung noch API-Aufruf.

  1. OpenAI3 Pakete
    6
  2. Ollama2 Pakete
    3
  3. Hugging Face1 Paket
    1

Gemeldete Lizenzausdrücke

Die Ausdrücke stammen aus Paketmetadaten. Daraus wird keine Kompatibilität oder rechtliche Bewertung abgeleitet.

  1. MIT2.028
  2. non-standard197
  3. Apache-2.0225
  4. BSD-3-Clause126
  5. ISC131
  6. BSD-2-Clause47
  7. PSF-2.03
  8. Apache-2.0 AND MIT12
Quellen und Zitation

Für reproduzierbare, zeitgebundene Aussagen gebaut

Jedes Ergebnis bewahrt öffentliches Repository, unveränderlichen Commit und Evidenzdatei. Paketmetadaten und OSV-Antworten werden getrennt erfasst – mit eigenem Abrufzeitpunkt und eigener Aussagegrenze.

i6eal (2026): KI-Abhängigkeitsatlas der Verwaltung – 30 Repositories, 4.205 geprüfte exakte npm-/PyPI-Paketversionen und 572 zurückgegebene OSV-Meldungen, Datenstand 19. Juli 2026. https://i6eal.de/tools/ki-abhaengigkeitsatlas/

Klar erklärt

Belegt eine OSV-Meldung, dass ein Repository verwundbar ist?
Nein. Sie zeigt, dass OSV zum Erhebungszeitpunkt eine öffentliche Meldung einer exakt beobachteten Paketversion zugeordnet hat. Erreichbarkeit, Ausnutzbarkeit, Betrieb und Schutzmaßnahmen werden damit nicht belegt.
Was bedeutet keine zurückgegebene OSV-Meldung?
Nur, dass die OSV-API zu diesem Zeitpunkt keine passende öffentliche Meldung für die übermittelte exakte Version zurückgegeben hat. Das ist keine Aussage, dass das Paket sicher ist.
Wie behandelt der Atlas Versionsbereiche?
Er löst sie nie durch eine Annahme auf. Eine Version wird nur geprüft, wenn ein Lockfile, eine SBOM oder ein exakter Doppelgleich-Pin sie veröffentlicht. Der Collector setzt nie das neueste Release ein.
Messen die Lizenzfelder Portabilität?
Nein. Der Atlas zeigt SPDX-Ausdrücke aus Paketmetadaten und fehlende Abdeckung. Er leitet weder Kompatibilität, Pflichten, Migrationsaufwand noch rechtliche Bewertungen ab.
Belegt ein Provider-SDK die Nutzung des Providers?
Nein. Ein direktes Schnittstellenpaket ist nur ein Signal im veröffentlichten Code. Es belegt weder Konfiguration, Konto, Beschaffung, Datentransfer noch API-Aufruf.
Verwendet der Collector generative KI?
Nein. Dateisuche, Parsing, Paketnormalisierung, Providerregeln und Veröffentlichung sind deterministisch und begrenzt.

Du brauchst einen prüfbaren Software-Lieferkettendatensatz für dein Themenfeld?

Wir bauen Public-Interest-Intelligence mit exakten Identitäten, sichtbaren Fehlstellen und Quellpfaden, die überprüfbar bleiben.

Datenprojekt besprechenKI-Code-Radar ansehen