Aanvullende documentatie naast de hoofd-README.md. Bedoeld voor lezers die
voorbij "hoe installeer ik dit" willen kijken — auditors, security-officers,
collega's die de tool overnemen, of jij over zes maanden.
| Bestand | Voor wie | Waarom |
|---|---|---|
compliance.md |
Auditor, security officer, sales-ondersteuning | Mapping van workstation-security componenten op specifieke control-IDs in ISO 27001:2022, SOC 2 (CC6/CC7), NEN 7510-2:2017 en BIO. Plus expliciete gap-lijst. |
threat-model.md |
Implementatie-engineers, security-reviewers | Wat verdedigen we WEL, wat NIET. Voorkomt scope-creep en zet verwachtingen voor wat dit script kan oplossen. |
strategy.md |
Nieuwe gebruikers die de repo clonen, ops-engineers die een partial install moeten interpreteren | Welke componenten zijn required/optional, wat doet de installer als iets niet beschikbaar is, en hoe lees je check.sh-output. |
supply-chain-cooldown.md |
Devs, sec-engineers, lezers die de baseline niet adopteren maar wel deze laag willen begrijpen | Aanleiding, mechanisme per package-manager (npm / pnpm / bun / uv / pip), workstation-vs-project-vs-CI-scope, en override-flow voor urgente CVEs. Staat-op-zichzelf. |
Vóór een audit:
- Lees
compliance.md— match de gevraagde controls tegen de mapping - Verifieer de evidence-paden bestaan (
check.shis hier de eerste stop) - Voor gevraagde controls niet in de mapping: óf compensating controls documenteren, óf het gat erkennen
Vóór een nieuwe deployment:
- Lees
threat-model.md— bevestig dat het bedreigingsmodel matcht - Lees
strategy.md— controleer welke componenten op de doel-distro automatisch werken en welke handmatig nawerk vragen - Bij mismatch: óf scope uitbreiden, óf de discrepantie expliciet documenteren in jouw eigen risk-register
Bij een wijziging aan een script:
- Update de relevante docs als de wijziging de control-coverage, het bedreigingsmodel, of de component-status (required/optional) raakt
- CHANGELOG.md krijgt de wijzigings-entry; deze docs krijgen de beschrijvende mapping-update
Deze docs zijn een eerste pass (2026-05-18). De control-mapping is geverifieerd tegen de hoofdsecties van elk framework maar niet woord-voor-woord tegen de letterlijke control-tekst — voor een audit-ready versie is dat een eindstap.
Beperking: vier frameworks tegelijk is een breed dossier. Per implementerende klant is het verstandig de mapping te trimmen tot de frameworks die in scope zijn voor hun audit, en de control-tekst dáár woord-voor-woord langs te lopen.