CVE-Relevance-Manager (CVM)

Relevanzbewertung von CVEs gegen Produkte, ProduktVersionen und Umgebungen – entwickelt von adesso health solutions GmbH als Nachbau-/Weiterentwicklungs- pendant zu PortalCore und ZPV.

Verbindliche Arbeitsgrundlage ist CLAUDE.md. Die Iterations-Roadmap steht in docs/initial/README-Iterationsplan.md. Das Fachkonzept liegt unter docs/konzept/CVE-Relevance-Manager-Konzept-v0.2.md.

Voraussetzungen

Werkzeug	Mindestversion
JDK	Temurin 21
Maven	3.9+ (ein Maven-Wrapper ./mvnw liegt bei)
Node.js	20 LTS
Docker	24+ (wird fuer Testcontainers und Docker-Compose benoetigt)

Quickstart

Komplett per Start-Skript (empfohlen)

scripts/start.sh              # aktueller HEAD, startet alles
scripts/start.sh main         # vorher auf main wechseln + ff-pull

Das Skript (Details in scripts/start.sh) fuehrt der Reihe nach aus:

1. Voraussetzungen pruefen (git, java, mvnw, docker, node, npm).
2. Optionaler Branch-Checkout + Fast-Forward-Pull (nur wenn ein Branch- Argument uebergeben wurde und das Working-Tree sauber ist).
3. docker compose up -d (Postgres + pgvector, Keycloak, MailHog), Warten auf Postgres-Healthcheck.
4. Backend ./mvnw spring-boot:run -pl cvm-app im Hintergrund, Warten auf /actuator/health.
5. Frontend ng serve im Hintergrund, Warten auf Port 4200.
6. tail -f auf alle Log-Dateien (Ctrl-C beendet alles sauber).

Nuetzliche Flags/Variablen:

scripts/start.sh main --skip-frontend    # nur Backend-Stack
scripts/start.sh main --no-tail          # ohne live-tail
CVM_BACKEND_PORT=8082 scripts/start.sh   # abweichender Backend-Port
CVM_LOG_DIR=/tmp/cvm-logs scripts/start.sh

Logs landen unter logs/YYYYMMDD-HHMMSS/ (docker-, backend-, frontend.log).

Manuell (wenn du die Schritte einzeln brauchst)

# 1. Lokale Infrastruktur hochfahren (Postgres + pgvector, Keycloak, MailHog)
docker compose up -d

# 2. Backend bauen und starten
./mvnw -T 1C clean verify
./mvnw spring-boot:run -pl cvm-app

# 3. Frontend starten
cd cvm-frontend
npm install
npm start

• API: http://localhost:8081/actuator/health
• OpenAPI: http://localhost:8081/swagger-ui.html
• Frontend: http://localhost:4200
• Keycloak: http://localhost:8080 (Admin: admin/admin)
• MailHog UI: http://localhost:8025

Module

cvm-domain/              POJOs, Value Objects (keine Spring-Abhaengigkeiten)
cvm-persistence/         JPA-Entities, Repositories, Flyway-Migrationen
cvm-application/         Services, Use Cases, Orchestrierung
cvm-integration/         Adapter zu NVD/GHSA/KEV/EPSS/OSV, Jira, Git, SMTP
cvm-llm-gateway/         LLM-Abstraktion (Claude, Ollama, OpenAI),
                         Prompt-Templates, Injection-Detector, Validator
cvm-ai-services/         KI-Anwendungsfaelle: Vorbewertung, Copilot,
                         Delta-Summary, Reachability, Fix-Verifikation,
                         Regel-Extraktion, Anomalie-Check, Profil-Assistent
cvm-api/                 REST-Controller, DTOs, OpenAPI (SpringDoc 2)
cvm-app/                 Spring-Boot-Einstiegspunkt
cvm-architecture-tests/  ArchUnit-Regeln (Modulgrenzen)
cvm-frontend/            Angular 18 (Standalone, Tailwind, Lucide,
                         ngx-echarts, Monaco-Editor)

Tests

./mvnw -T 1C test                 # Unit- + ArchUnit-Tests
./mvnw -T 1C verify               # inkl. Testcontainers-IT (Docker erforderlich)
cd cvm-frontend && npm test       # Angular Unit-Tests

Integrationstests, die einen Postgres-Container benoetigen, werden automatisch uebersprungen, wenn kein Docker-Daemon erreichbar ist (siehe com.ahs.cvm.app.DockerAvailability).

Weitere Dokumente

• CLAUDE.md — Arbeitsregeln und Tech-Stack (verbindlich)
• docs/initial/ — urspruengliche Iterations-Prompts der Phase 0-4 (README-Iterationsplan.md + 00-Initialisierung.md bis 21-Mandanten-CICD-KPIs.md, 27-*, 28-*)
• docs/konzept/ — Fachkonzept v0.2
• docs/api/ — REST-Schnittstellenbeschreibung
• docs/YYYYMMDD/ — tagesaktuelle Fortschrittsberichte

Lizenz

Interne Entwicklung der adesso health solutions GmbH.