Trục 4: Kỹ thuật
OSCAL — Open Security Controls Assessment Language
OSCAL chuyển đổi tài liệu tuân thủ từ Word/Excel sang định dạng JSON/YAML máy đọc được với bốn lớp:
- Catalogs — Định nghĩa kiểm soát (NIST 800-53, ISO 27001, BSI IT-Grundschutz)
- Profiles — Baseline đặc thù tổ chức
- Implementation Layer — System Security Plans, Component Definitions
- Assessment Layer — Assessment Results, POA&M
BSI tài liệu hóa chính thức: "OSCAL có khả năng kết nối với các tiêu chuẩn quốc tế". GCBoK định nghĩa các phân loại tuân thủ Đức (GoBD, BSI, DSGVO) làm catalog OSCAL — điều này chưa từng có trên thị trường.
OPA / Rego — Policy as Code
Open Policy Agent với ngôn ngữ Rego. Quy tắc tuân thủ được triển khai dưới dạng mã, tự động kiểm tra trạng thái Git.
VPRM — Verifiable Process Reward Model
Trong bối cảnh GCBoK, OPA/Rego đóng vai trò VPRM: Guardrails cho AI-agent phát sinh từ bộ quy tắc tất định, không từ prompt-engineering. Như vậy AI-agent không được bảo đảm bằng prompt-constraints, mà bằng kiểm chứng mã.
Ký GPG
Mỗi Git-Commit liên quan tuân thủ được ký GPG. Chữ ký ràng buộc:
- Định danh (GPG-Fingerprint = tác nhân)
- Nội dung (Commit-Hash = dữ liệu)
- Thời điểm (Commit-Timestamp = Khi nào)
Từ metadata .v7g.md, GPG-Fingerprints được ràng buộc với V7GUID — định danh vẫn giả mạo an toàn ngay cả khi AI-agent thao túng cấu trúc ngữ nghĩa.
uuidV7 — UUID Version 7
UUID Version 7 tương thích RFC-4122: dựa trên thời gian, sắp xếp được, chống xung đột. Phần mở rộng đặc thù GitCover 14-bit-Klassen-Identifier biến UUID thành V7GUID (xem Khái niệm).
Git làm IdP — Identity Provider
Kho Git dựa trên Gitea làm Single Source of Truth (SSoT) cho hệ thống quản lý định danh và truy cập tích hợp (IAM). Dự án nghiên cứu được BSFZ công nhận khảo sát liệu tổ chức Git/nhóm có thể biểu diễn OAuth2-clients và permissions và quản lý >1.000 người dùng hiệu năng cao hay không.
Xem thêm: Dự án nghiên cứu về GitCover.IdP được mô tả trong Dự án nghiên cứu.