Rebaze DNA

Software Supply Chain Security.
Als Fähigkeit.

Nicht ein Tool. Nicht ein Audit. Ein Programm, das alle drei Dimensionen adressiert: Technik, Prozesse und Menschen.

Erstgespräch anfragen Unsere Leistungen
Festpreis Wissenstransfer NIS2-ready

Der Ansatz

Mehr als Tools — eine Fähigkeit

Die meisten SSCS-Initiativen scheitern nicht an der Technik. Sie scheitern, weil niemand die Prozesse anpasst und die Menschen mitnimmt.

Technik

SBOM-Pipelines, Vulnerability Scanner, Dependency Tracking, AI-Dependency-Monitoring — integriert in Ihre CI/CD-Landschaft. Open-Source-Tools, keine Vendor-Abhängigkeit.

Prozesse

Security Hygiene als gelebte Praxis. Governance-Workflows, Incident-Playbooks, Freigabeprozesse — nicht als Dokument, sondern als Routine in Ihren Teams.

Menschen

Wissenstransfer, Schulung, Coaching. Ihre Teams verstehen das Warum — und können eigenständig handeln. Kein Berater-Abo, keine Abhängigkeit.

Der Ablauf

Vier Meilensteine zur Fähigkeit

Strukturiert, dokumentiert — mit vollständigem Wissenstransfer.

🔍

Reifegradanalyse

Wo stehen Sie? Reifegradanalyse Ihrer Software-Lieferkette über alle drei Dimensionen: Technik, Prozesse, Menschen. Gap-Analyse und Roadmap.

Reifegrad-Report Gap-Analyse Programm-Roadmap
Wochen 1–4

Infrastruktur & Integration

Hands-on Aufbau: SBOM-Pipelines, Vulnerability Management, AI-Dependency-Tracking. Integriert in Ihre CI/CD-Umgebung. Keine PowerPoint-Präsentationen.

SBOM-Pipeline Dashboard-Zugang AI-Dependency-Tracking Erste Vulnerability-Reports
Wochen 5–16
🚀

Befähigung

Security Hygiene als Praxis etablieren. Governance-Prozesse, Incident-Playbooks, Schulungen. Ihr Team übernimmt schrittweise den Betrieb.

Governance-Prozesse Incident-Playbooks Team-Schulungen Rollout alle Projekte
Wochen 17–40
🎓

Handover & Eigenständiger Betrieb

Übergabe an Ihren internen Betrieb. Dokumentierte Prozesse, nachweisbare Fähigkeiten, Compliance-Readiness. Sie operieren eigenständig — ohne Berater-Abhängigkeit.

Schulungsabschluss Betriebshandbuch Compliance-Nachweise Eigenständiger Betrieb
Wochen 41–52

Die nächste Grenze

Von SBOM zu Capability Manifest

Ein SBOM beantwortet: Was steckt in Ihrer Software? Die nächste Frage lautet: Was kann Ihre Software tun? Welche Systemressourcen nutzt sie, welche Netzwerkverbindungen baut sie auf, welche Berechtigungen benötigt sie?

SBOM — Zutatenliste

Inventar aller Komponenten: Bibliotheken, Frameworks, transitive Abhängigkeiten. Formate wie CycloneDX und SPDX dokumentieren Zusammensetzung.

Zusammensetzung CycloneDX / SPDX Heute Standard

Capability Manifest — Laufzeitverhalten

Deklaration von Systemressourcen, Netzwerkzugriffen und Berechtigungen. Eine Abhängigkeit mit bekannter Schwachstelle aber ohne Netzwerkzugriff — ein völlig anderes Risikoprofil.

Laufzeitverhalten Berechtigungen Aufkommendes Konzept

Wo das Konzept heute schon existiert

Android & iOS

Permission Manifests deklarieren Kamera-, Standort- und Netzwerkzugriff — das bekannteste Capability-Modell im Consumer-Bereich.

Deno & WASI

Explizites Capability-Modell: kein Dateizugriff, kein Netzwerk, keine Umgebungsvariablen — es sei denn, ausdrücklich erlaubt.

Kubernetes

Pod Security Standards definieren erlaubte Capabilities, Volumes und Netzwerkpolicies pro Workload.

OpenSSF & CISA

Aufkommende Tools wie Capslock (Google) und socket.dev analysieren Laufzeitverhalten von Abhängigkeiten. Noch kein CycloneDX/SPDX-Standard.

Ehrliche Einordnung: Capability Manifests sind ein aufkommendes Konzept — noch kein fertiger Standard. Wer heute SBOM-Infrastruktur aufbaut, sollte diese Erweiterung bereits mitdenken. Genau das tun wir.

Scope

Die gesamte Lieferkette — nicht nur Code

Moderne digitale Lösungen bestehen nicht nur aus Code. KI-Modelle, Cloud-Services, Container-Images — alles sind Abhängigkeiten, die Sie kennen und bewerten müssen.

Software-Abhängigkeiten

Open-Source-Bibliotheken, Frameworks, transitive Abhängigkeiten. Vollständige Inventur mit SBOM-Generierung bei jedem Build. Perspektivisch ergänzt um Capability-Analyse: Was können diese Komponenten zur Laufzeit?

CycloneDX SPDX Lizenz-Compliance Capability-Analyse

AI & ML-Modelle

Basis-Modelle, Fine-Tuning-Daten, API-Abhängigkeiten. Wer liefert Ihre KI-Komponenten? Welche Lizenzen gelten? Welche Risiken bestehen?

AI-Dependency-Tracking Modell-Inventur

Infrastruktur & Container

Base-Images, Runtime-Versionen, Plattform-Abhängigkeiten. Container-Scanning und Image-Provenance für Ihre gesamte Deployment-Landschaft.

Container-Scanning Image-Provenance

Compliance-Nachweise

NIS2, CRA, BSI Grundschutz, DORA. Audit-fähige Dokumentation über Ihre gesamte Lieferkette — nicht nur für Code, sondern für alle Abhängigkeitstypen.

NIS2-Nachweise CRA-Readiness

Der Unterschied

Warum ein Programm — kein Projekt?

Typischer Ansatz

  • Tool-Beschaffung ohne Prozessanpassung
  • Einmaliges Audit, danach Stillstand
  • Compliance-Checkbox statt gelebter Praxis
  • Fokus nur auf Code-Abhängigkeiten
  • Wissen geht mit dem Berater

Rebaze DNA

  • Technik, Prozesse und Menschen — alle drei Dimensionen
  • Security Hygiene als fortlaufende Praxis
  • Gesamtes Spektrum: Code, AI, Infrastruktur, Services
  • SBOM heute — Capability Manifests als nächster Schritt
  • Eigenständiger Betrieb nach Handover

Bereit, SSCS als Fähigkeit aufzubauen?

30 Minuten Erstgespräch. Unverbindlich. Von der Bestandsaufnahme bis zum eigenständigen Betrieb — wir zeigen Ihnen den Weg.

Kostenloses Erstgespräch anfragen