Sicherheit & Supply Chain

Engineering-Notizen und Analysen zum Thema „Sicherheit & Supply Chain“ — mit praktischen Beispielen und Erkenntnissen aus der Praxis.

Notiz 16.06.2026 ≈ 4 Min

Cyber Resilience Act: warum die SBOM bis September 2026 nötig ist, nicht erst 2027

Alle blicken auf Dezember 2027, doch die Meldung ausgenutzter Schwachstellen beginnt ein Jahr früher — und ohne Komponenten-Inventar lässt sie sich nicht erfüllen.
Lesen
Notiz 11.06.2026 ≈ 3 Min

SLSA L0–L3 und Provenance: eine Vertrauenskette vom Commit bis zur Admission

Ein SBOM sagt «was drin ist», eine Signatur «wer signiert hat». Dazwischen liegt Provenance — «wie gebaut wurde». Seit SolarWinds muss Admission genau das fragen.
Lesen
Notiz 01.06.2026 ≈ 4 Min

DevSecOps in fünf Stages: vom Secret-Scan bis zur Admission Policy

Fünf CI-Stages mit exit-code 1 plus ein Admission-Gate im Cluster — das einzige Muster, in dem DevSecOps Production tatsächlich blockiert statt als Ritual grüner Häkchen zu laufen.
Lesen