4.000 Findings. 7 Entscheidungen.
6 Wochen.

Landscape Map

Jedes Produkt. Jedes Build-System. Jeder blinde Fleck.

Wir kartieren Ihre Software-Landschaft: welche Produkte gebaut werden, mit welchen Build-Systemen (Maven, Gradle, npm, Docker, ...), und wo heute schon Transparenz besteht — und wo nicht.

Ergebnis: Eine Seite, auf der Sie zum ersten Mal sehen, wie groß Ihr tatsächlicher Fußabdruck ist.

Blueprints pro Ökosystem

Kein generischer Foliensatz. Konkrete Anleitungen für Ihre Build-Systeme.

Für jedes relevante Ökosystem erhalten Sie einen Blueprint: welches Plugin, welche Version, wo integrieren, was der Output ist. Ihr Team kann am Montag nach dem Workshop anfangen.

Beispiel: Ihr größtes Produkt baut mit Maven und Tycho 2.x. Tycho 2 hat keine native SBOM-Unterstützung. Der Blueprint zeigt den Umweg über das CycloneDX-Maven-Plugin und ergänzt Syft für die Komponenten, die Maven nicht sieht. Das steht nicht in der Dokumentation. Das steht im Blueprint.

Architektur-Entscheidungen

Wo die Plattform läuft. Wie die Daten fließen. Welche Systeme angebunden werden.

DependencyTrack-Deployment (Kubernetes, On-Prem oder Cloud). Anbindung an Ihr bestehendes Tooling (Jira, LeanIX, ITSM). Benachrichtigungsdesign: wer erfährt was, wann, und warum nicht 400 Tickets für dieselbe Schwachstelle.

Jede Architektur-Entscheidung ist dokumentiert und begründet.

Decision Board

Das Herzstück. 5–8 Entscheidungen auf je einer Seite.

Jede Entscheidung hat: einen Titel, der die Empfehlung trägt. Maximal drei Optionen. Eine klare Empfehlung. Einen Eigentümer (mit Namen, nicht mit Rolle). Einen Termin.

Das Decision Board wird im Workshop gemeinsam finalisiert. Sie verlassen den Raum mit getroffenen Entscheidungen, nicht mit einer To-Do-Liste.

Entscheidung 1

„SBOM-Rollout mit Maven und Gradle starten. OSGi kommt in Phase 2 mit Syft als Ergänzung.“

→ 80% Abdeckung in 8 Wochen statt 30% in 16 Wochen.

Entscheidung 2

„DependencyTrack auf AKS mit externer Datenbank. Nicht im Bundled-Modus.“

→ Skalierbar für 50+ Projekte. Kein Datenverlust bei Updates.

Entscheidung 3

„Dependency Cooldowns für npm und Maven einführen. 3 Tage Wartezeit für npm. 7 Tage für Maven.“

→ Schutz vor Supply-Chain-Angriffen in den ersten Stunden nach einem kompromittierten Release. Kein Geschwindigkeitsverlust.

Entscheidung 4

„Schwachstellen-Benachrichtigungen pro Projektgruppe in Jira einsteuern. Nicht global.“

→ Entwickler sehen nur, was sie betrifft. Kein Benachrichtigungs-Rauschen.

Einen Ansprechpartner, der Türen öffnet

Nicht alles selbst wissen — aber wissen, wen man fragen muss.

Gesprächstermine in Woche 1

4–5 Slots à 60 Minuten mit den richtigen Personen. Wir liefern die Interview-Leitfäden vorab.

Lesezugriff auf Build-Konfigurationen

Kein Schreibzugriff. Kein Zugang zu Produktionssystemen. Wir brauchen pom.xml, build.gradle, package.json, Dockerfiles.

Einen Tag für den Workshop

8–12 Personen, ein Raum, keine Laptops. Der Workshop ist das Ergebnis — nicht ein Zwischenschritt.

Was im Preis enthalten ist

• Alle Interviews und Analysen in Woche 1–5
• Blueprints für bis zu 3 Ökosysteme
• Architektur-Entwurf inkl. Integrations-Design
• Ganztägiger Workshop vor Ort (+ Reisekosten Hannover/DACH)
• Decision Board als digitales und druckbares Dokument
• Alle Unterlagen zur freien Verwendung. Kein NDA auf die Methodik.

Was den Preis beeinflusst

• Anzahl der Ökosysteme (3 sind im Basispreis, jedes weitere +)
• Komplexität der Integration (LeanIX, ServiceNow, ITSM-Anbindung)
• Standort (Workshop vor Ort in DACH inkl., international nach Aufwand)

Kein Stundensatz. Kein Nachtragsangebot. Wenn sich der Scope im Erstgespräch als größer herausstellt, passen wir den Festpreis vorher an — nicht nachher.

Option A: Ihr Team setzt die Blueprints um

Sie haben alles, was Sie brauchen. Die Blueprints sind implementierungsfertig. Das Decision Board gibt die Reihenfolge vor.

Option B: rebaze Mandat.

Monatlicher Sync. Quartals-Review. Incident-Einschätzung. Persönlich, nicht delegiert. Wir steuern die Umsetzung als fester Governance-Partner.

Mehr zu rebaze Mandat →