Achse 4: Techniken
OSCAL — Open Security Controls Assessment Language
OSCAL transformiert Compliance-Dokumentation von Word/Excel in maschinenlesbare JSON/YAML-Formate mit vier Schichten:
- Catalogs — Kontroll-Definitionen (NIST 800-53, ISO 27001, BSI IT-Grundschutz)
- Profiles — organisationsspezifische Baselines
- Implementation Layer — System Security Plans, Component Definitions
- Assessment Layer — Assessment Results, POA&M
Das BSI dokumentiert offiziell: "OSCAL ist an internationale Standards anschlussfähig". Das GCBoK definiert deutsche Compliance-Taxonomien (GoBD, BSI, DSGVO) als OSCAL-Kataloge — dies existiert am Markt bisher nicht.
OPA / Rego — Policy as Code
Open Policy Agent mit Rego-Sprache. Compliance-Regeln werden als Code implementiert, der automatisch gegen den Git-State geprüft wird.
VPRM — Verifiable Process Reward Model
Im GCBoK-Kontext fungiert OPA/Rego als VPRM: Guardrails für KI-Agenten entstehen durch deterministisches Regelwerk, nicht durch Prompt-Engineering. Damit werden KI-Agenten nicht durch Prompt-Constraints gesichert, sondern durch Code-Validierung.
GPG-Signierung
Jeder Compliance-relevante Git-Commit wird GPG-signiert. Die Signatur bindet:
- Identität (GPG-Fingerprint = Akteur)
- Inhalt (Commit-Hash = Daten)
- Zeitpunkt (Commit-Timestamp = Wann)
Ab .v7g.md-Metadaten werden GPG-Fingerprints an V7GUIDs gebunden — Identitäten bleiben selbst dann falschungssicher, wenn ein KI-Agent die semantische Struktur manipuliert.
uuidV7 — UUID Version 7
RFC-4122-kompatible UUID Version 7: zeitbasiert, sortierbar, kollisionsresistent. Die GitCover-spezifische Erweiterung um 14-Bit-Klassen-Identifier macht UUIDs zu V7GUIDs (siehe Konzepte).
Git als IdP — Identity Provider
Gitea-basierte Git-Repositories als Single Source of Truth (SSoT) für ein integriertes Identity- und Access-Management-System (IAM). Das BSFZ-anerkannte Forschungsvorhaben untersucht, ob Git-Organisationen/Teams OAuth2-Clients und Permissions abbilden und >1.000 Benutzer performant verwalten können.
Siehe auch: Das Forschungsvorhaben zu GitCover.IdP wird in Forschungsvorhaben beschrieben.