Achse 4: Techniken

OSCAL — Open Security Controls Assessment Language

OSCAL transformiert Compliance-Dokumentation von Word/Excel in maschinenlesbare JSON/YAML-Formate mit vier Schichten:

  1. Catalogs — Kontroll-Definitionen (NIST 800-53, ISO 27001, BSI IT-Grundschutz)
  2. Profiles — organisationsspezifische Baselines
  3. Implementation Layer — System Security Plans, Component Definitions
  4. Assessment Layer — Assessment Results, POA&M

Das BSI dokumentiert offiziell: "OSCAL ist an internationale Standards anschlussfähig". Das GCBoK definiert deutsche Compliance-Taxonomien (GoBD, BSI, DSGVO) als OSCAL-Kataloge — dies existiert am Markt bisher nicht.

OPA / Rego — Policy as Code

Open Policy Agent mit Rego-Sprache. Compliance-Regeln werden als Code implementiert, der automatisch gegen den Git-State geprüft wird.

VPRM — Verifiable Process Reward Model

Im GCBoK-Kontext fungiert OPA/Rego als VPRM: Guardrails für KI-Agenten entstehen durch deterministisches Regelwerk, nicht durch Prompt-Engineering. Damit werden KI-Agenten nicht durch Prompt-Constraints gesichert, sondern durch Code-Validierung.

GPG-Signierung

Jeder Compliance-relevante Git-Commit wird GPG-signiert. Die Signatur bindet:

Ab .v7g.md-Metadaten werden GPG-Fingerprints an V7GUIDs gebunden — Identitäten bleiben selbst dann falschungssicher, wenn ein KI-Agent die semantische Struktur manipuliert.

uuidV7 — UUID Version 7

RFC-4122-kompatible UUID Version 7: zeitbasiert, sortierbar, kollisionsresistent. Die GitCover-spezifische Erweiterung um 14-Bit-Klassen-Identifier macht UUIDs zu V7GUIDs (siehe Konzepte).

Git als IdP — Identity Provider

Gitea-basierte Git-Repositories als Single Source of Truth (SSoT) für ein integriertes Identity- und Access-Management-System (IAM). Das BSFZ-anerkannte Forschungsvorhaben untersucht, ob Git-Organisationen/Teams OAuth2-Clients und Permissions abbilden und >1.000 Benutzer performant verwalten können.

Siehe auch: Das Forschungsvorhaben zu GitCover.IdP wird in Forschungsvorhaben beschrieben.