Files

T

Benjamin Admin c2c8f7e424 feat: Signal Producer interface + Normalizer — one signal language for all sources (before #58 )

Not scanner stubs — the scanners exist. The Silent Pass needs only their UNIFIED output. This adds the
small common DATA FORMAT (not a new module/framework) the user asked for, exactly the Requirement-
Source / MCAP / regulation-alias pattern: many inputs, one language.

  Producer A / B / C  ->  normalize_signals (vocabulary: id + aliases)  ->  canonical IntakeSignal  ->  Silent Pass

- ProducedSignal {signal_id, source_type, confidence, evidence, provenance} = what ANY source emits
  (website scanner, repo scanner, PDF parser, tender parser, API, the user).
- knowledge/onboarding/signal_vocabulary.yaml reduces producer dialects to a canonical signal: "SBOM
  present" arrives as cyclonedx_found / spdx_found / sbom_uploaded / requires_sbom (tender) — all become
  `sbom_file_found`. The Silent Pass cannot tell where it came from -> no per-scanner special logic, ever.
- Unknown signals pass through (a new producer stays visible). confidence/evidence/provenance flow to
  the detected capability for the audit trail.

A tender that "requires SBOM" now produces the same effect as a repo that HAS one — fits Vision V2
(Requirement Source over Regulation). Endpoint (#58) then has its final shape: POST -> Producers ->
Normalizer -> Silent Pass -> Profile -> Delta -> Questions -> Roadmap. Non-runtime -> no deploy. mypy
--strict clean, 14 onboarding tests pass, check-loc 0.

2026-06-28 14:49:57 +02:00

3.5 KiB

Raw Blame History

Smart Onboarding Advisor — was der Nutzer sieht (automatisch, ohne Vertrieb)

Eingabe: Unternehmen + Produkte + Zertifizierungen + Ziel. Den Rest macht die Orchestrierung über die bestehenden Engines (Company 2A · RS-005 · Optimization · Completeness). Synthetisch, keine echten Namen.

Eingabe

Zertifizierungen: ISO9001, ISO27001, ISO14001, TISAX · Produkt: Parkschein-/Schrankensystem · Ziel: CRA

Phase 0 — Stille Vorbefüllung (BEVOR eine Frage erscheint)

Signal Producer (verschiedene Dialekte → ein kanonisches Signal): vdp_found(website), cyclonedx_found(repository), cosign_found(repository), risk_assessment_pdf(document), cloud_hosted(product), plc_detected(product)

Stille Vorbefüllung: 4 Fähigkeit(en) automatisch erkannt, 2 Produktfakt(en), 4 Nachweis(e) bereits vorhanden.

Automatisch erkannte Fähigkeiten: coordinated_vulnerability_disclosure, product_cyber_risk_assessment, sbom_creation, secure_signed_update_distribution
Produktfakten (steuern den Scope): connected_to_internet=true, is_machine=true
Nachweise bereits in der Hand (kein Upload nötig): cvd_policy, product_risk_assessment, sbom, signing_config

Was wir erkannt haben

17 Anforderungen erkannt · 4 automatisch erkannt (Intake) · 5 wahrscheinlich (Zertifikate) · 5 zu klären

Aus Ihren Zertifizierungen abgeleitet (zu bestätigen, nicht automatisch erfüllt):

ISO9001 legt 1 relevante Fähigkeit(en) nahe — Verifikation erforderlich, nicht automatisch erfüllt
ISO27001 legt 4 relevante Fähigkeit(en) nahe — Verifikation erforderlich, nicht automatisch erfüllt
TISAX legt 4 relevante Fähigkeit(en) nahe — Verifikation erforderlich, nicht automatisch erfüllt
ISO14001 ist für dieses Ziel nicht relevant — relevance(evidence, target) = 0 — keine geforderte Fähigkeit abgedeckt

Die wenigen offenen Punkte — nur die nächsten besten Fragen

Frage 1 von 5 (Informationswert 8)

protection against corruption of safety functions? — Warum fragen wir das: Keine Anhaltspunkte im Unternehmensprofil — klären.

Frage 2 von 5 (Informationswert 7)

exploited vuln and incident reporting? — Warum fragen wir das: Keine Anhaltspunkte im Unternehmensprofil — klären.

Frage 3 von 5 (Informationswert 7)

machine safety risk assessment? — Warum fragen wir das: Keine Anhaltspunkte im Unternehmensprofil — klären.

Frage 4 von 5 (Informationswert 7)

mechanical safety and guards? — Warum fragen wir das: Keine Anhaltspunkte im Unternehmensprofil — klären.

Frage 5 von 5 (Informationswert 7)

operating instructions and safety information? — Warum fragen wir das: Keine Anhaltspunkte im Unternehmensprofil — klären.

Womit zuerst anfangen (größter Hebel)

protection_against_corruption_of_safety_functions — schließt 2 Anforderung(en): CRA, MaschinenVO
exploited_vuln_and_incident_reporting — schließt 1 Anforderung(en): CRA
machine_safety_risk_assessment — schließt 1 Anforderung(en): MaschinenVO
mechanical_safety_and_guards — schließt 1 Anforderung(en): MaschinenVO
operating_instructions_and_safety_information — schließt 1 Anforderung(en): MaschinenVO

Vollständigkeit (ehrlich)

Identifiziert 1 · bewertet 1 · offen 0 · Unsicherheiten 0 · Begründung ja

Der Vertrieb wählt KEIN Regelwerk und interpretiert nichts — er sieht nur dieses Ergebnis. Jede beantwortete Frage aktualisiert das Capability Profile und verkleinert das Delta.

3.5 KiB Raw Blame History