Benjamin_Boenisch/breakpilot-compliance
1
1
Fork 0
Code Issues 24 Pull Requests Actions Packages Projects Releases Wiki Activity
Files
9c3358241269a1bfc603c8bb395d7a3220e204fd
breakpilot-compliance/backend-compliance/reference_scenarios/onboarding_advisor_demo.md
T
Benjamin Admin 9c33582412 feat: Silent Knowledge Pass — recognise before asking (Phase 0, before the endpoint) 
Not the endpoint yet — the bigger knowledge lever first. The Advisor can say "I need 5 answers" but
does not yet decide what it can find out by ITSELF. The Silent Knowledge Pass runs in front of the
Advisor and, from signals existing scanners/parsers already produce (website, repository, documents,
product data), deterministically derives capabilities the company demonstrably HAS + product facts
that drive scope — so every recognised item shrinks the delta and removes a question.

compliance/onboarding/silent_intake.py: silent_intake(signals, signal_map) -> detected_capabilities
(+ evidence already in hand) + product_facts. The signal->conclusion map is curated DATA
(knowledge/onboarding/intake_signal_map.yaml), signals are injected (scanners are upstream). Pure,
deterministic, no LLM. advisor_start gains detected_capabilities (folded into the profile at HIGH
confidence -> covered, not asked) and an auto_detected result + headline.

The experience flips from a question wall to "we already recognised 4 capabilities, 2 product facts
and have 4 pieces of evidence in hand — only these few remain". Order now: Silent Pass -> #58
endpoint/frontend -> #59 empirical loop. NOT new architecture, just an orchestration step in front.
Non-runtime (no app caller) -> no deploy. 15 onboarding tests pass, mypy --strict clean, check-loc 0.
2026-06-28 14:34:27 +02:00

3.2 KiB
Raw Blame History

Smart Onboarding Advisor — was der Nutzer sieht (automatisch, ohne Vertrieb)

Eingabe: Unternehmen + Produkte + Zertifizierungen + Ziel. Den Rest macht die Orchestrierung über die bestehenden Engines (Company 2A · RS-005 · Optimization · Completeness). Synthetisch, keine echten Namen.

Eingabe

Zertifizierungen: ISO9001, ISO27001, ISO14001, TISAX · Produkt: Parkschein-/Schrankensystem · Ziel: CRA

Phase 0 — Stille Vorbefüllung (BEVOR eine Frage erscheint)

Stille Vorbefüllung: 4 Fähigkeit(en) automatisch erkannt, 2 Produktfakt(en), 4 Nachweis(e) bereits vorhanden.

  • Automatisch erkannte Fähigkeiten: coordinated_vulnerability_disclosure, product_cyber_risk_assessment, sbom_creation, secure_signed_update_distribution
  • Produktfakten (steuern den Scope): connected_to_internet=true, is_machine=true
  • Nachweise bereits in der Hand (kein Upload nötig): cvd_policy, product_risk_assessment, sbom, signing_config

Was wir erkannt haben

17 Anforderungen erkannt · 4 automatisch erkannt (Intake) · 5 wahrscheinlich (Zertifikate) · 5 zu klären

Aus Ihren Zertifizierungen abgeleitet (zu bestätigen, nicht automatisch erfüllt):

  • ISO9001 legt 1 relevante Fähigkeit(en) nahe — Verifikation erforderlich, nicht automatisch erfüllt
  • ISO27001 legt 4 relevante Fähigkeit(en) nahe — Verifikation erforderlich, nicht automatisch erfüllt
  • TISAX legt 4 relevante Fähigkeit(en) nahe — Verifikation erforderlich, nicht automatisch erfüllt
  • ISO14001 ist für dieses Ziel nicht relevant — relevance(evidence, target) = 0 — keine geforderte Fähigkeit abgedeckt

Die wenigen offenen Punkte — nur die nächsten besten Fragen

Frage 1 von 5 (Informationswert 8)

protection against corruption of safety functions? — Warum fragen wir das: Keine Anhaltspunkte im Unternehmensprofil — klären.

Frage 2 von 5 (Informationswert 7)

exploited vuln and incident reporting? — Warum fragen wir das: Keine Anhaltspunkte im Unternehmensprofil — klären.

Frage 3 von 5 (Informationswert 7)

machine safety risk assessment? — Warum fragen wir das: Keine Anhaltspunkte im Unternehmensprofil — klären.

Frage 4 von 5 (Informationswert 7)

mechanical safety and guards? — Warum fragen wir das: Keine Anhaltspunkte im Unternehmensprofil — klären.

Frage 5 von 5 (Informationswert 7)

operating instructions and safety information? — Warum fragen wir das: Keine Anhaltspunkte im Unternehmensprofil — klären.

Womit zuerst anfangen (größter Hebel)

  • protection_against_corruption_of_safety_functions — schließt 2 Anforderung(en): CRA, MaschinenVO
  • exploited_vuln_and_incident_reporting — schließt 1 Anforderung(en): CRA
  • machine_safety_risk_assessment — schließt 1 Anforderung(en): MaschinenVO
  • mechanical_safety_and_guards — schließt 1 Anforderung(en): MaschinenVO
  • operating_instructions_and_safety_information — schließt 1 Anforderung(en): MaschinenVO

Vollständigkeit (ehrlich)

Identifiziert 1 · bewertet 1 · offen 0 · Unsicherheiten 0 · Begründung ja

Der Vertrieb wählt KEIN Regelwerk und interpretiert nichts — er sieht nur dieses Ergebnis. Jede beantwortete Frage aktualisiert das Capability Profile und verkleinert das Delta.

Reference in New Issue View Git Blame Copy Permalink