Häufig gestellte Fragen

rebaze hilft Unternehmen, Transparenz in ihrer Software-Lieferkette zu schaffen und daraus belastbare Entscheidungen zu machen. Der Einstieg ist rebaze Pilot für erste Klarheit an einem Tag. rebaze Lagebild liefert den fundierten Ausgangspunkt. rebaze Mandat gibt laufende Governance und Steuerung. SBOM-, Vulnerability- und wo relevant auch KI-Themen beziehen wir dabei mit ein.

→ Unsere Leistungen im Detail

Ein SBOM (Software Bill of Materials) ist die vollständige Zutatenliste Ihrer Software. Jede Bibliothek, jede Abhängigkeit, jede Version. Maschinenlesbar, automatisiert generiert und die Basis für Schwachstellen-Management und Compliance.

→ Was ist ein SBOM? Ausführlich erklärt

Ohne SBOM wissen Sie nicht, was in Ihrer Software steckt. Bei einer kritischen Schwachstelle wie Log4Shell können Sie nicht feststellen, ob Sie betroffen sind. Mit NIS2 und dem Cyber Resilience Act wird diese Transparenz zur gesetzlichen Pflicht.

NIS2 betrifft „wesentliche“ und „wichtige“ Einrichtungen in 18 Sektoren. Schwellenwerte: ab 50 Mitarbeitende oder 10 Mio. EUR Umsatz. NIS2 ist seit Dezember 2025 in Kraft. Die BSI-Registrierungsfrist ist am 6. März 2026 abgelaufen. Auch als Software-Zulieferer können Sie indirekt betroffen sein, da NIS2 die gesamte Lieferkette adressiert.

→ NIS2 & Software-Lieferkette

SCA (Software Composition Analysis) scannt Code auf bekannte Schwachstellen. Das ist ein Snapshot. Ein SBOM ist die persistente Inventur aller Komponenten, die über den gesamten Lebenszyklus aktuell gehalten wird. SBOMs ermöglichen retroaktive Analyse: Wenn morgen eine neue Schwachstelle bekannt wird, prüfen Sie gegen Ihr SBOM.

Dafür gibt es SLSA (Supply-chain Levels for Software Artifacts), ein OpenSSF-Framework für Build-Integrität. Während ein SBOM die Zutatenliste liefert, dokumentiert SLSA-Provenance kryptografisch, wie und wo ein Artefakt gebaut wurde. Zusammen beantworten beide zwei Fragen: Was steckt drin? Und wurde es korrekt und unverfälscht gebaut?

Der Cyber Resilience Act fordert beides. Technisch basiert SLSA auf Sigstore für kryptografische Signaturen und in-toto für Attestierungen. Wir planen Build-Integrität bereits in unsere SBOM-Infrastruktur mit ein.

→ Mehr zu SBOM + Build-Integrität im DNA Programm

Wir setzen ausschließlich bewährte Open-Source-Tools ein: DependencyTrack (SBOM-Management), Syft (SBOM-Generierung), Grype (Vulnerability Scanning), CycloneDX (SBOM-Format). Keine Vendor-Lock-ins, keine laufenden Lizenzkosten.

SBOM-Generierung mit Syft dauert typischerweise 5 bis 30 Sekunden pro Build, je nach Größe des Projekts. In parallelen CI/CD-Pipelines ist der Overhead vernachlässigbar. Vulnerability Scanning läuft asynchron und beeinflusst den Build nicht.

Grundsätzlich ja. Alle Tools sind Open Source. Der Mehrwert von rebaze liegt in der Enterprise-Erfahrung: CI/CD-Integration über hunderte Pipelines, Governance-Prozesse, Management-Reporting und regulatorisches Mapping. Sie sparen Monate an Trial-and-Error.

Ja. Wir haben Erfahrung mit VS-NfD- und ITAR-konformen Umgebungen (Bundesdruckerei, Thales Defense). Air-Gap-Deployments sind mit spezialisierten Tools für isolierte Umgebungen (Zarf) und dedizierten Mirror-Registries realisierbar.

DependencyTrack ist die führende Open-Source-Plattform für SBOM-Management und unsere Standardempfehlung. Wenn Sie bereits eine SBOM-Plattform betreiben, integrieren wir in Ihre bestehende Infrastruktur.

Wir arbeiten zum Festpreis. Keine Stundensätze, keine überraschenden Kosten. Der genaue Umfang hängt von Ihrer Situation ab. Im kostenlosen Erstgespräch klären wir Ihren Bedarf und geben eine Budgetindikation.

rebaze Pilot dauert einen Tag. rebaze Lagebild dauert typischerweise 4–6 Wochen bei festem Umfang. rebaze Mandat läuft danach so lange, wie Governance und Steuerung es sinnvoll machen.

→ Die drei Leistungsformate im Detail

rebaze Lagebild ist Ihr Ausgangspunkt: ein Assessment mit festem Umfang. Ziel ist kein weiterer Report, sondern ein Decision Board mit Ihren 7 wichtigsten Entscheidungen, jeweils mit Kontext, Optionen und Empfehlung.

rebaze Mandat ist laufende Governance für Ihre Software-Lieferkette. Monatlicher Sync, Quartals-Review, Incident-Einschätzung und Roadmap-Steuerung. Persönlich, nicht delegiert. Startet nach einem abgeschlossenen Lagebild.

Oft ist rebaze Pilot der Einstieg. Danach folgt das rebaze Lagebild für den vollständigen Überblick und anschließend rebaze Mandat für laufende Steuerung. Wenn ein Team eigenständig weitergehen kann, ist das genauso in Ordnung.

Alle Tools werden in Ihrer eigenen Infrastruktur betrieben, on-premises oder in Ihrer Cloud. Keine Daten fließen an Dritte. rebaze nutzt keine US-Cloud-Dienste. Für Air-Gap-Umgebungen bieten wir komplett isolierte Deployments.