SAP regulated · multi-runtime · AEGIS L0-L4

OSSFIA-SAP — Governance Harness Multi-Runtime para SAP Regulated

El único harness que unifica Claude + Cursor + Copilot + Joule Studio + ABAP MCP + Eclipse ADT bajo AEGIS L0-L4 + 6 compliance packs + LATAM + post-quantum.

"Discipline value > team size"

Book pilot → Read whitepaper
El problema

3 brechas que están costando millones a equipos SAP regulated

AI generativa entró a SAP regulated sin governance. El costo: deuda técnica oculta, auditorías reconstructivas, y riesgo regulatorio.

AI-generated ABAP introduce riesgo

SQL injection en SELECT dinámicos, AUTHORITY-CHECK ausente, violaciones del clean core: tres patrones que repiten Claude/Cursor/Copilot/Joule sin un harness encima.

Cross-vendor audit gap creciendo

SAP Joule no gobierna Claude, Cursor ni Copilot. Cada runtime emite logs incompatibles. Reconstruir "qué agente escribió qué línea" toma días.

Multi-jurisdictional reconstructive audit

Equipos regulated en LATAM + EU + US pierden 5-10 días por auditoría reconstruyendo evidence chain. SOX, ISO 42001, Ley 1581 piden hash-chain inmutable — CTS+ no lo provee.

Doctrina

6 paradigmas que rompemos

OSSFIA-SAP no es "Joule con más features". Es una capa de governance que asume que ningún runtime es la respuesta única.

PARADIGMA 01

Multi-runtime

Claude + Cursor + Copilot + Joule + ABAP MCP + Eclipse ADT bajo un solo control plane.

vs. everything-SAP — vendor lock-in disfrazado de "plataforma".

PARADIGMA 02

Hash-chain audit

Cada acción de agente → hash inmutable encadenado. Evidence chain reconstructible en segundos.

vs. CTS+ scattered logs — días de archeology forense por auditoría.

PARADIGMA 03

AEGIS L0-L4

5 niveles graduados de autonomía. Promote solo con evidencia: eval ≥0.9 + shadow 14d + 0 incidentes.

vs. manual TMS — binary on/off sin métricas de confianza.

PARADIGMA 04

Compliance multi-marco

6 packs nativos: SOX, ISO 42001, NIST AI RMF, EU AI Act, Ley 1581, LGPD. Cross-mapping automático.

vs. SOX + ISO only — gaps regulatorios en LATAM + EU que ningún incumbente cubre.

PARADIGMA 05

Spec-first SAP

Toda generación ABAP/CDS arranca de un contrato OpenAPI/spec validado. Sin spec → STOP.

vs. business-first prompt — código sin trazabilidad a requirement.

PARADIGMA 06

Transparency by design

Cada decisión de agente queda observable: prompt completo, tools usados, costo, hash. EU AI Act Art. 14 ready.

vs. black-box AI — "el agente lo decidió" no es defensa regulatoria.

Core técnico

20 canonical Agent Harnesses adaptados a SAP

La taxonomía Hashimoto / OpenAI / Fowler aplicada con adapters específicos para ABAP, CDS, BTP, Eclipse ADT.

01ContextCLAUDE.md + scopes
02Memorysession_*.md
03MCPABAP + BTP servers
04GuardrailsSQL inj + AUTH-CHECK
05SandboxCTS+ dev tier
06Multi-agentFAB ABAP cells
07Hookspre/post transport
08Permissionsrole-based ADT
09ObservabilityOTel GenAI
10FinOpstoken + dialog budget
11EvalsATC + golden set
12DLP10 categorías
13Costcircuit breaker
14Kill switchper-agent/global
15Audithash-chain inmutable
16Specfirst → code
17Compliance6 packs nativos
18Multi-runtimeAGENTS.md LCD
19HITL-AEGISL0-L4 graduado
20Maturity8 niveles AI adoption
Honest positioning

Dónde estamos en el ecosistema SAP + AI dev

No competimos con quien hace code generation. No competimos con quien hace AST. Competimos con la ausencia de governance sobre todos ellos.

Posicionamiento OSSFIA-SAP vs vendors del ecosistema
Vendor Categoría Relación con OSSFIA-SAP
SAP Joule Studio 2.0 Code generation (ABAP/CDS) Adapter integrado
Onapsis Control Cybersecurity / AST Complementor
Tricentis Quality / Testing Complementor
AWS Kiro / Microsoft AI SDK Cloud-vendor code gen Adapter integrado
OSSFIA-SAP Governance harness multi-runtime Layer encima de todos
Demo en 22 minutos

Workflow María — ABAP dev regulated, una historia completa

Del requirement al transport con AEGIS gate + audit chain auto-generada. Cero esfuerzo de auditoría posterior.

1

Spec-first

María describe el requirement. OSSFIA-SAP exige spec OpenAPI/CDS contract antes de cualquier código. Sin spec → STOP.

5 min
2

AI generation con harness activo

Claude + Joule generan ABAP/CDS. Guardrails bloquean SQL injection y AUTHORITY-CHECK ausente. Cada token observable.

10 min
3

Test gen + ATC pre-flight

Tests unitarios generados antes del transport. ATC corre como pre-flight check. Eval scorecard pass@1 ≥ 0.85.

5 min
4

Transport con AEGIS gate

Promote DEV → QAS gated por AEGIS L2-L3. Aprobación humana visible. Confidence threshold respetado.

2 min
5

Audit chain auto-generated

Hash-chain inmutable. Cada agente, prompt, tool, costo, decisión queda observable. EU AI Act Art. 14 ready.

cero esfuerzo
Para quién

Diseñado para SAP regulated reality

Discipline value > team size. Desde el freelance ABAP regulated hasta el enterprise multi-jurisdicción — el harness es el mismo.

¿Cuál es el fit para tu equipo?

Solo dev regulated · Equipo 5–15 ABAP devs mid-market · Enterprise multi-jurisdicción · SAP implementation partner. Cada conversación se calibra al contexto: stack actual, jurisdicciones, runtimes AI ya en uso, compliance burden.

Hablemos → alejandro@xclos.com Ver repo en GitHub
Roadmap

De Phase 0 bootstrap a ISO 42001 certification

Construcción 7×24 sin romper. Cada phase produce evidence shippable.

PHASE 0 · Bootstrap Shipped May 2026

Repo + 20 harnesses scaffolding + Sesión 1.5 P0/P1 fixes

github.com/aforero22/ossfia-sap inicializado. Doctrina v10.26 portada. Sesión 1 hardening + Sesión 1.5 P0/P1 fixes shipped.

PHASE 1 · Foundation Q3 2026 · 3 meses

AEGIS L0-L2 production-ready + ABAP MCP + Eclipse ADT adapter

Spec workflow estable, hash-chain audit operativo, ATC pre-flight integrado. PoC cliente target $50–100K.

PHASE 2 · Multi-runtime Q4 2026 · 2 meses

Adapters Claude + Cursor + Copilot + Joule + Kiro + Microsoft AI SDK

AGENTS.md como LCD universal. Cross-vendor audit chain unificado. 6 runtimes en producción.

PHASE 3 · PoC cliente Q1 2027 · 2 meses

Primer cliente production deployment

Enterprise SAP regulated LATAM o EU. Métricas DORA + SPACE con AI attribution. Eval scorecards reales.

PHASE 4 · ISO 42001 2027–2028 · 1–2 años

Trayecto a certificación ISO 42001 + OSCAL emit

Evidence collector continuo. SOC 2 Type II + ISO 42001 cert. Carrier insurance B2B2B partnership.

Documentación técnica

Whitepaper + ADR-SAP-001

La doctrina completa, AEGIS L0-L4 spec, los 20 harnesses con adapters SAP, y el rationale técnico/regulatorio.

Read ADR-SAP-001 on GitHub →
xTrust portfolio

OSSFIA-SAP es parte del portafolio xTrust by xCloud Solutions

5 productos. Cada uno con un verbo claro. OSSFIA-SAP es el adapter especializado para SAP regulated.

DETECT
xScan
Vulnerability scan
PREVENT
OSSFIA
Governance harness
MONITOR
GlassPlane
Control plane
SOVEREIGN
Pirca
Sovereign deploy
SPECIALIZED
OSSFIA-SAP
SAP regulated

Empezar con un Phase 1 PoC pilot

3 meses. Foundation production-ready. AEGIS L0-L2 + ABAP MCP + Eclipse ADT adapter + primera evidence chain real.

Hablemos → alejandro@xclos.com Read full ADR-SAP-001