Rebaze DNA

Software Supply Chain Security.
Als Fähigkeit.

Rebaze DNA ist unsere Methode hinter rebaze Pilot, rebaze Lagebild und rebaze Mandat: Technik, Prozesse und Menschen zusammen denken statt nur ein weiteres Tool einzuführen.

Unsere Leistungen Kostenloses Erstgespräch
Festpreis Wissenstransfer NIS2-ready

Der Ansatz

Mehr als Tools — eine Fähigkeit

Die meisten SSCS-Initiativen scheitern nicht an der Technik. Sie scheitern, weil Prozesse, Verantwortlichkeiten und Wissenstransfer fehlen. Genau dafür steht unsere Methode.

Technik

SBOM-Pipelines, Vulnerability Scanner, Dependency Tracking, AI-Dependency-Monitoring — integriert in Ihre CI/CD-Landschaft. Open-Source-Tools, keine Vendor-Abhängigkeit.

Prozesse

Security Hygiene als gelebte Praxis. Governance-Workflows, Incident-Playbooks, Freigabeprozesse — nicht als Dokument, sondern als Routine in Ihren Teams.

Menschen

Wissenstransfer, Schulung, Coaching. Ihre Teams verstehen das Warum — und können eigenständig handeln. Kein Berater-Abo, keine Abhängigkeit.

Der Ablauf

Vier Meilensteine zur Fähigkeit

Strukturiert, dokumentiert — mit vollständigem Wissenstransfer.

🔍

Reifegradanalyse

Wo stehen Sie? Reifegradanalyse Ihrer Software-Lieferkette über alle drei Dimensionen: Technik, Prozesse, Menschen. Gap-Analyse und Roadmap.

Reifegrad-Report Gap-Analyse Programm-Roadmap
Wochen 1–4

Infrastruktur & Integration

Hands-on Aufbau: SBOM-Pipelines, Vulnerability Management, AI-Dependency-Tracking. Integriert in Ihre CI/CD-Umgebung. Keine PowerPoint-Präsentationen.

SBOM-Pipeline Dashboard-Zugang AI-Dependency-Tracking Erste Vulnerability-Reports
Wochen 5–16
🚀

Befähigung

Security Hygiene als Praxis etablieren. Governance-Prozesse, Incident-Playbooks, Schulungen. Ihr Team übernimmt schrittweise den Betrieb.

Governance-Prozesse Incident-Playbooks Team-Schulungen Rollout alle Projekte
Wochen 17–40
🎓

Handover & Eigenständiger Betrieb

Übergabe an Ihren internen Betrieb. Dokumentierte Prozesse, nachweisbare Fähigkeiten, Compliance-Readiness. Sie operieren eigenständig — ohne Berater-Abhängigkeit.

Schulungsabschluss Betriebshandbuch Compliance-Nachweise Eigenständiger Betrieb
Wochen 41–52

Die nächste Grenze

Von SBOM über Build-Integrität zum Capability Manifest

Drei Fragen, drei Schichten: Was steckt in Ihrer Software? (SBOM) → Wurde sie korrekt und unverfälscht gebaut? (SLSA) → Was kann sie zur Laufzeit tun? (Capability Manifest)

SBOM — Zutatenliste

Inventar aller Komponenten: Bibliotheken, Frameworks, transitive Abhängigkeiten. Formate wie CycloneDX und SPDX dokumentieren Zusammensetzung.

Zusammensetzung CycloneDX / SPDX Heute Standard

Build-Integrität — SLSA

Kryptografischer Nachweis, dass ein Artefakt aus dem deklarierten Quellcode in einer definierten Umgebung gebaut wurde. Sigstore für Signaturen, in-toto für Attestierungen.

Provenance Sigstore / in-toto CRA-relevant

Capability Manifest — Laufzeitverhalten

Deklaration von Systemressourcen, Netzwerkzugriffen und Berechtigungen. Eine Abhängigkeit mit bekannter Schwachstelle aber ohne Netzwerkzugriff — ein völlig anderes Risikoprofil.

Laufzeitverhalten Berechtigungen Aufkommendes Konzept

Wo das Konzept heute schon existiert

Android & iOS

Permission Manifests deklarieren Kamera-, Standort- und Netzwerkzugriff — das bekannteste Capability-Modell im Consumer-Bereich.

Deno & WASI

Explizites Capability-Modell: kein Dateizugriff, kein Netzwerk, keine Umgebungsvariablen — es sei denn, ausdrücklich erlaubt.

Kubernetes

Pod Security Standards definieren erlaubte Capabilities, Volumes und Netzwerkpolicies pro Workload.

OpenSSF & CISA

Aufkommende Tools wie Capslock (Google) und socket.dev analysieren Laufzeitverhalten von Abhängigkeiten. Noch kein CycloneDX/SPDX-Standard.

Ehrliche Einordnung: SLSA-Attestierungen und Capability Manifests sind aufkommende Konzepte auf unterschiedlichem Reifegrad — SLSA ist produktionsreif, Capability Manifests noch kein fertiger Standard. Wir denken Build-Integrität bereits mit und bereiten Ihre Infrastruktur auf beide Erweiterungen vor.

Scope

Die gesamte Lieferkette — nicht nur Code

Moderne digitale Lösungen bestehen nicht nur aus Code. KI-Modelle, Cloud-Services, Container-Images — alles sind Abhängigkeiten, die Sie kennen und bewerten müssen.

Software-Abhängigkeiten

Open-Source-Bibliotheken, Frameworks, transitive Abhängigkeiten. Vollständige Inventur mit SBOM-Generierung bei jedem Build. Perspektivisch ergänzt um Capability-Analyse: Was können diese Komponenten zur Laufzeit?

CycloneDX SPDX Lizenz-Compliance Capability-Analyse

AI & ML-Modelle

Basis-Modelle, Fine-Tuning-Daten, API-Abhängigkeiten. Wer liefert Ihre KI-Komponenten? Welche Lizenzen gelten? Welche Risiken bestehen?

AI-Dependency-Tracking Modell-Inventur

Infrastruktur & Container

Base-Images, Runtime-Versionen, Plattform-Abhängigkeiten. Container-Scanning und Image-Provenance für Ihre gesamte Deployment-Landschaft.

Container-Scanning Image-Provenance

Compliance-Nachweise

NIS2, CRA, BSI Grundschutz, DORA. Audit-fähige Dokumentation über Ihre gesamte Lieferkette — nicht nur für Code, sondern für alle Abhängigkeitstypen.

NIS2-Nachweise CRA-Readiness

Der Unterschied

Warum ein Programm — kein Projekt?

Typischer Ansatz

  • Tool-Beschaffung ohne Prozessanpassung
  • Einmaliges Audit, danach Stillstand
  • Compliance-Checkbox statt gelebter Praxis
  • Fokus nur auf Code-Abhängigkeiten
  • Wissen geht mit dem Berater

Rebaze DNA

  • Technik, Prozesse und Menschen — alle drei Dimensionen
  • Security Hygiene als fortlaufende Praxis
  • Gesamtes Spektrum: Code, AI, Infrastruktur, Services
  • SBOM + Build-Integrität heute — Capability Manifests als nächster Schritt
  • Eigenständiger Betrieb nach Handover

Die Methode verstanden. Jetzt zu den Formaten.

Wenn Sie wissen wollen, wie wir daraus rebaze Pilot, rebaze Lagebild oder rebaze Mandat machen, finden Sie dort den direkten Einstieg.

Zu den Leistungen