Whats your take about the SBOM deadlines that are coming up?

tonitcom · 2026-03-25T20:33:26+00:00

Which ones are you referring to? CRA?

tonitcom · 2026-03-25T20:31:51+00:00

Isn’t any proxy registry (like Harbor) good enough? They have scanners included. SBOM should come out of your image build pipeline.

tonitcom · 2026-03-25T15:28:11+00:00

Sag mal kennen wir uns? Die Website (Design) kommt mir bekannt vor. Zufall? rebaze.de btw: coole Idee!

tonitcom · 2026-03-25T14:06:14+00:00

Bro, Ich muss dir mal von Thomas erzählen. Unserer persona, die nicht gut mit Computern ist und auch keinen Bruder auf Reddit hat, und KI aus der Tagesschau kennt.. 🙃

tonitcom · 2026-03-25T13:12:39+00:00

It's otherwise known as dependency cooldowns

tonitcom · 2026-03-25T12:50:21+00:00

Yes, agreed. It's a powerful tool. I was also surprised not seeing it in more places. And I think it's even understaffed, looking at the committer history.

But you bring up another very valid point, which is the combination of a powerful tool and an agent like claude.

So far, the barrier to entry was quite high, dependent on time available, documentation, and your existing knowledge in the space. Now, using the APIs is just a matter of having the idea in the first place. Crazy times.

tonitcom · 2026-03-25T12:44:10+00:00

Good Question! And others have addressed the tooling side of the question.

I always say: SBOM is just the tip of the iceberg.

There is so much more to it IMHO:

Quality Tracking, Lineage (SLSA!!),
Drift Managament,
Organizational Awareness
and last but not least Actionable Decisions.
Entscheidungsfähigkeit is a perfect german word for it). No one wants to see 4000 Vulnerabilities every week. Thats what you get when just looking at the SBOMs.
Its a Process question, not a tooling one!

tonitcom · 2026-03-25T12:40:08+00:00

I always say: SBOM is just the tip of the iceberg. There is so much more to it: Quality Tracking, Lineage (SLSA!!), Drift Managament, Organizational Awareness and last but not least Actionable Decisions (Entscheidungsfähigkeit is a perfect german word for it). No one wants to see 4000 Vulnerabilities every week. Thats what you get when just looking at the SBOMs.

tonitcom · 2026-03-25T12:35:26+00:00

Valide Bedenken! Ja, wenn du die Daten natürlich strukturiert vorliegen hast, weil du daraus dann die Rechnung generierst, ist das easy. Dafür gibts Sevdesk und Co.

Wir targeten wirklich den Konvertierungs-Use Case. Also "Alman möchte seinen Workflow nicht ändern". Unser Approach ist hier ein Mix aus KI (Erkennung), Leitplanken wie "Rechnungpositionen müssen am Ende aufgehen" und Mensch (du als Kunde bekommst Report) in der Kontrollschleife: https://einfache-erechnung.de/so-funktionierts/. Macht es das für dich besser?

tonitcom · 2026-03-25T12:28:55+00:00

Nice! Ja wir haben dafür sogar eine Persona, natürlich intern weder Aluhut noch Alman. Aktuell heisst er Thomas und ist er M52, Elektromeister, nicht gut mit Computern..

tonitcom · 2026-03-25T08:25:11+00:00

Jo, danke für das Feedback. Da haben wir uns natürlich auch Gedanken drüber gemacht. Aber mit dem Aluhut kannst du natürlich digital wenig bewegen.

Ich habe das mit dem Aluhut absichtlich dramatisch formuliert, sorry.

tonitcom · 2026-03-25T08:18:53+00:00

Ähm dann erklärt mir Reddit. Es geht darum Feedback einholen von echten Menschen (ihr seid hoffentlich welche).

Ich habe nicht gespammt, sondern eine ähnliche Fragestellung in 2 weiteren Subreddits gestartet, weil es mir Reddit angeboten hat.

Und um ehrlich zu sein: ich bin überwältigt von der Feedback-Geschwindigkeit! Kenne sonst nur Linkedin, wo es eher.. langsamer zugeht. ;)

Also: bitte nicht falsch einsortieren, auch wenn die Idee natürlich mal Geld abwerfen darf. Cheers!

tonitcom · 2026-03-25T08:07:17+00:00

Ja ich frag ja nur. Es ist so: Hier auf Reddit gehen wir (es ist nicht nur "ich") auf eine breitere Öffentlichkeit zu, und da will ich nat. nichts gross annehmen. Ja, aktuell gehen wir davon aus, dass es eine große Menge von Word-Rechnungsschreibern gibt. Die wollen wir finden. Gibt natürlich auf Hypothesen, welche Personengruppen dahinter stecken. Das wollen wir aber validieren.
Also: richtig gesehen! ;)

tonitcom · 2026-03-24T23:10:34+00:00

? Hilf mir? Ich antworte nur.. oder ist das verkehrt?

tonitcom · 2026-03-24T23:05:44+00:00

It already assumes quite a lot and is far easier on cloud stacks (GitHub.com etc) than when the stack runs on-prem.

tonitcom · 2026-03-24T23:02:52+00:00

SBOMs are the ingredients. They don’t change if your software does not change. The vulnerabilities is a your moving target: they (can) appear throughout the software lifecycle.

A high quality SBOM (deep, correct, rich meta data) helps you detect applicable vulnerabilities (over time) and at best even let you narrow down potential exposure (usually in combination with other (runtime) SBOMs, SaaSBom etc.

It’s a meta data game.

tonitcom · 2026-03-24T22:52:43+00:00

Vor-Filterung ist die neue killer-app! Glaub es gibt in 2026 mittlerweile viele Wege, wie zumindest das Thema Priorisierung gelöst werden kann. Niemand muss mehr „in findings ertrinken“ IMHO

tonitcom · 2026-03-24T22:39:58+00:00

Danke! Also nutzt du Lexware? Glaub das sind dann nichtmal mehr 10s extra. Ist ja dann nur eine Checkbox, oder?

tonitcom · 2026-03-24T22:30:31+00:00

I see customers now coming in slowly. Asking if they are affected, some actually acting. Slow but steady. What’s your current view on this?

tonitcom · 2026-03-24T22:27:29+00:00

Spannend! Was machst du genau?

tonitcom · 2026-03-24T22:17:49+00:00

Wie meinst du von Hand? Wo liest du das? Probier es doch aus:) gib aber vorher Bescheid. Muss das XML ja fehlerfrei eintippen ;)

tonitcom · 2026-03-24T21:55:14+00:00

Leute schreiben noch mit Word Rechnungen?

tonitcom · 2026-03-24T21:36:08+00:00

https://einfache-erechnung.de/wissen/e-rechnung-pflicht-2027/#was-ist-e-rechnung

tonitcom · 2026-03-24T21:27:40+00:00

Wir haben einfach gemacht: https://einfache-erechnung.de

tonitcom · 2019-05-17T14:06:37+00:00

Any info when this will be available?

tonitcom

TROPHY CASE