Häufig gestellte Fragen

rebaze macht die DNA Ihrer Software sichtbar. Wir implementieren SBOM-Infrastruktur, Vulnerability Management und Compliance-Nachweise für Software-Lieferketten — mit Open-Source-Tools, zum Festpreis, mit vollständigem Wissenstransfer.

→ Unsere Leistungen im Detail

Ein SBOM (Software Bill of Materials) ist die vollständige Zutatenliste Ihrer Software — jede Bibliothek, jede Abhängigkeit, jede Version. Maschinenlesbar, automatisiert generiert, die Basis für Schwachstellen-Management und Compliance.

→ Was ist ein SBOM? — ausführlich erklärt

Ohne SBOM wissen Sie nicht, was in Ihrer Software steckt. Bei einer kritischen Schwachstelle wie Log4Shell können Sie nicht feststellen, ob Sie betroffen sind. Mit NIS2 und dem Cyber Resilience Act wird diese Transparenz zur gesetzlichen Pflicht.

NIS2 betrifft „wesentliche“ und „wichtige“ Einrichtungen in 18 Sektoren. Schwellenwerte: ab 50 Mitarbeitende oder 10 Mio. EUR Umsatz. NIS2 ist seit Dezember 2025 in Kraft. BSI-Registrierungsfrist: März 2026. Auch als Software-Zulieferer können Sie indirekt betroffen sein, da NIS2 die gesamte Lieferkette adressiert.

→ NIS2 & Software-Lieferkette

SCA (Software Composition Analysis) scannt Code auf bekannte Schwachstellen — ein Snapshot. Ein SBOM ist die persistente Inventur aller Komponenten, die über den gesamten Lebenszyklus aktuell gehalten wird. SBOMs ermöglichen retroaktive Analyse: Wenn morgen eine neue Schwachstelle bekannt wird, prüfen Sie gegen Ihr SBOM.

Dafür gibt es SLSA (Supply-chain Levels for Software Artifacts) — ein OpenSSF-Framework für Build-Integrität. Während ein SBOM die Zutatenliste liefert, dokumentiert SLSA-Provenance kryptografisch, wie und wo ein Artefakt gebaut wurde. Zusammen beantworten sie: Was steckt drin? und Wurde es korrekt und unverfälscht gebaut?

Der Cyber Resilience Act fordert beides. Technisch basiert SLSA auf Sigstore für kryptografische Signaturen und in-toto für Attestierungen. Wir planen Build-Integrität bereits in unsere SBOM-Infrastruktur mit ein.

→ Mehr zu SBOM + Build-Integrität im DNA Programm

Wir setzen ausschließlich bewährte Open-Source-Tools ein: DependencyTrack (SBOM-Management), Syft (SBOM-Generierung), Grype (Vulnerability Scanning), CycloneDX (SBOM-Format). Keine Vendor-Lock-ins, keine laufenden Lizenzkosten.

SBOM-Generierung mit Syft dauert typischerweise 5–30 Sekunden pro Build — je nach Größe des Projekts. In parallelen CI/CD-Pipelines ist der Overhead vernachlässigbar. Vulnerability Scanning läuft asynchron und beeinflusst den Build nicht.

Grundsätzlich ja — alle Tools sind Open Source. Der Mehrwert von rebaze liegt in der Enterprise-Erfahrung: CI/CD-Integration über hunderte Pipelines, Governance-Prozesse, Management-Reporting, regulatorisches Mapping. Sie sparen Monate an Trial-and-Error.

Ja. Wir haben Erfahrung mit VS-NfD- und ITAR-konformen Umgebungen (Bundesdruckerei, Thales Defense). Air-Gap-Deployments sind mit spezialisierten Tools für isolierte Umgebungen (Zarf) und dedizierten Mirror-Registries realisierbar.

DependencyTrack ist die führende Open-Source-Plattform für SBOM-Management und unsere Standardempfehlung. Wenn Sie bereits eine SBOM-Plattform betreiben, integrieren wir in Ihre bestehende Infrastruktur.

Wir arbeiten zum Festpreis — keine Stundensätze, keine überraschenden Kosten. Der genaue Umfang hängt von Ihrer Situation ab. Im kostenlosen Erstgespräch klären wir Ihren Bedarf und geben eine Budgetindikation.

Das rebaze DNA Programm läuft über 12 Monate in vier Phasen: Assessment, Pilot-Implementation, Enterprise-Rollout und Stabilisierung mit Handover. Erste Ergebnisse sind nach 4–6 Wochen sichtbar.

→ Das DNA Programm im Detail

Nach dem Handover betreiben Sie alles selbst. Ihr Team hat das Know-how, die Dokumentation und die Prozesse. Kein Berater-Abo, keine Abhängigkeit. Bei Bedarf bieten wir Support-Pakete an.

Alle Tools werden in Ihrer eigenen Infrastruktur betrieben — on-premises oder in Ihrer Cloud. Keine Daten fließen an Dritte. rebaze nutzt keine US-Cloud-Dienste. Für Air-Gap-Umgebungen bieten wir komplett isolierte Deployments.