Transparenz über KI-Komponenten: Checkmarx stellt AI Inventory vor
26.06.2026
Die Herausforderung durch Shadow AI
Mit dem rasanten Einzug von KI in Unternehmensanwendungen wächst auch der Bedarf an wirksamer Governance. Das Project NANDA des MIT zeigt, dass Mitarbeitende in mehr als 90 Prozent der Unternehmen regelmäßig private KI-Tools für ihre Arbeit nutzen. Auch in der Softwareentwicklung schreitet der Einsatz von KI rasant voran: Laut einer aktuellen Checkmarx-Studie rechnen 70 Prozent der Entwicklungsteams damit, dass bis Ende 2026 KI-Komponenten in ihren Produktivumgebungen eingesetzt werden. Gleichzeitig verfügen 43 Prozent der Unternehmen über keine formalen Vorgaben dazu, welche KI-Komponenten Entwickler einsetzen dürfen.
Spätestens wenn Auditoren, Kunden oder Aufsichtsbehörden Auskunft darüber verlangen, welche KI-Modelle im Einsatz sind und woher sie stammen, stoßen viele Unternehmen an ihre Grenzen. Klassische SBOMs (Software Bill of Materials) dokumentieren Softwarepakete – nicht jedoch Modelle, Agenten oder MCP-Server, die zunehmend Bestandteil moderner Anwendungen sind.
„Wirksame KI-Governance beginnt mit Transparenz“, erklärt Ori Bendet, VP of Product Management bei Checkmarx. „Unternehmen müssen zunächst nachvollziehen können, welche KI-Komponenten tatsächlich in ihren Anwendungen und ihrem Quellcode eingesetzt werden. Genau diese Transparenz schafft Checkmarx AI Inventory: Die Lösung inventarisiert alle KI-Komponenten und ordnet sie eindeutig der jeweiligen Codezeile zu. So erhalten Unternehmen eine belastbare Grundlage für Governance und Audits.“
Funktionsweise von AI Inventory
Checkmarx AI Inventory ist Bestandteil der Lösung AI Supply Chain Security innerhalb der Checkmarx-One-Plattform. Die Funktion ergänzt die hybriden Scan-Engines für Code Security, Runtime Security und Software Supply Chain Security und erweitert Checkmarx One um Transparenz und Governance für KI-Komponenten. AI Inventory identifiziert KI-Komponenten mithilfe deterministischer Analysen. Jedes Finding lässt sich eindeutig einer konkreten Datei und einer bestimmten Codezeile zuordnen: Das schafft belastbare Nachweise, die auch Audits standhalten. Über eine zentrale Plattform können Unternehmen:
• sämtliche KI-Komponenten – darunter Modelle, Agenten, MCP-Server, KI-Bibliotheken und SDKs – Repository-übergreifend inventarisieren und bei jedem Commit automatisch aktualisieren,
• den Einsatz nicht freigegebener Modelle, Agenten und MCP-Server bereits in Pull Requests und CI/CD-Pipelines verhindern sowie
• auditfähige AI-BOMs erstellen und bei Bedarf im Standard CycloneDX 1.7 exportieren.
Da AI-BOMs versionsbezogen erstellt und bis in den Quellcode zurückverfolgt werden können, unterstützen sie unmittelbar die Dokumentationsanforderungen des EU AI Act (Artikel 11, 13 und Anhang IV), des NIST AI Risk Management Framework, der ISO/IEC 42001 sowie des EU Cyber Resilience Act. Unternehmen verfügen damit bereits im Vorfeld über strukturiert aufbereitete Nachweise für Audits und Compliance-Prüfungen.
Marktresonanz
Führende Unternehmen aus den Bereichen Finanzdienstleistungen, Technologie, Logistik und Handel haben am Early-Adopter-Programm teilgenommen; mehrere von ihnen setzen AI Inventory bereits produktiv ein. Nach Angaben der Early Adopter ermöglicht die Lösung erstmals vollständige Transparenz darüber, welche Anwendungen KI-Komponenten enthalten und welche Komponenten konkret eingesetzt werden. Dadurch konnten bislang nicht erfasste Modelle identifiziert, bestehende Systemverzeichnisse validiert sowie nicht autorisierte oder auffällige Modelle zur weiteren Überprüfung erkannt werden.
Auch Analysten sehen Checkmarx hervorragend positioniert. Das Unternehmen wurde im ersten Gartner Magic Quadrant for Software Supply Chain Security 2026 als Leader eingestuft* und im aktuellen Gartner-Bericht Innovation Insight: AI Bills of Materials (AIBOMs) Strengthen AI Governance als Representative Vendor aufgeführt**.
Verfügbarkeit
Checkmarx AI Inventory ist ab sofort als Bestandteil des Moduls AI Supply Chain Security innerhalb von Checkmarx One verfügbar. Weitere Informationen sowie die Möglichkeit, eine Produktdemo zu vereinbaren, bietet die Checkmarx-Website.
* Gartner, Magic Quadrant for Software Supply Chain Security, Aaron Lord, Johnny Walters, Jason Gross, 17. Juni 2026.
** Gartner, Innovation Insight: AI Bills of Materials (AIBOMs) Strengthen AI Governance, Manjunath Bhat, Angela Zhao, Aaron Lord, 27. Mai 2026.
Gartner Disclaimer
Gartner spricht keine Empfehlungen für die in seinen Forschungsberichten dargestellten Anbieter, Produkte oder Dienstleistungen aus und rät Technologieanwendern nicht dazu, ausschließlich Anbieter mit den höchsten Bewertungen oder anderen Auszeichnungen auszuwählen. Gartner-Forschungsberichte geben die Einschätzungen der Gartner-Forschungsorganisation wieder und sind nicht als Tatsachenbehauptungen zu verstehen. Gartner schließt jegliche ausdrückliche oder stillschweigende Gewährleistung im Zusammenhang mit dieser Untersuchung aus, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck.
Gartner und Magic Quadrant sind eingetragene Marken von Gartner, Inc.
und/oder deren verbundenen Unternehmen.
Portrait:
Über Checkmarx Checkmarx, der Marktführer im Bereich Application Security Testing, unterstützt Unternehmen mit der branchenführenden Cloud-nativen AST-Plattform Checkmarx One™ dabei, ihre #DevSec-Prozesse zu stärken. Aufsetzend auf das Knowhow unserer branchenweit führenden AppSec-Research- und Service-Teams schärft unsere KI-basierte Plattform den Blick der CISOs und Entwickler für das Wesentliche - und stellt so die Weichen für ein erfolgreiches Business. Dabei geht es um mehr als um die Frage, ob Shift-Left oder Shift-Right der bessere Ansatz ist: Mit Checkmarx können sich Unternehmen jederzeit flexibel an neue Anforderungen anpassen. Für mehr Informationen besuchen Sie unsere Website, lesen unseren Blog oder folgen uns auf LinkedIn.




