Hashimoto acuño el termino en Feb 2026. OpenAI lo institucionalizo. Fowler lo formalizo. Nosotros lo embarcamos en produccion con las 3 capas que el patron puro omite: DLP scrubber 10 categorias, audit trail dual-rail y output guards 9 marcos compliance.
Baseline es el harness multi-runtime (14+ runtimes). GlassPlane es el control plane (18 dim compliance live). Lo usamos nosotros para nuestra factory. Lo licenciamos para que lo uses tu.
Las dev shops tradicionales no saben construir con agentes autonomos.
Los vendors de AI governance (Credo AI, Holistic AI, Fiddler) cobran USD 50K+/ano solo por el dashboard — y tu sigues necesitando quien te construya el software.
Nosotros hacemos las dos cosas.
Hashimoto, OpenAI y Fowler definieron harness engineering como las herramientas que dirigen agentes IA hacia objetivos especificos via infraestructura. Pero su patron es de productividad pura — omite governance, DLP y compliance. OSSFIA lo embarca con las 3 capas que regulated industries necesitan.
CLAUDE.md + AGENTS.md + skills + rules + progressive disclosure. Lo que el agente NO puede ver, no existe.
Linters, hooks, capas de dependencia mecanicamente impuestas. Layers unidireccionales (Types → Config → Repo → Service → Runtime → UI).
Agentes periodicos validan docs vs codigo, eliminan codigo muerto, detectan drift. El repositorio = unica fuente de verdad.
El articulo nxcode 'Harness Engineering Complete Guide 2026' es excelente "Harness Engineering 101". OSSFIA es el postgrado completo en regulated industries.
10 categorias formales con BLOCK absoluto (CDI / JDI / SEC / BIO) + REDACT automatico (PII / PHI / PFI / HRI) + WARN auditable (AUD / IPR). Aplicado runtime ANTES de cualquier modelo externo.
Schema canonico work_agent_executions.sql + columnas actor_origen + actor_id en tablas operativas. GlassPlane dim 17 work_automation_ratio.
AURA 4 niveles + scoring contra 9 marcos simultaneos: NIST CSF 2.0 (93%), AI RMF (93%), SSDF (95%), GenAI (80%), EU AI Act, NIS2, ISO 42001, SOC 2 + LATAM packs.
Total OSSFIA: brownfield aditivo en ~1 dia con todo incluido. Ahorras 12-24 meses de ingenieria mas el costo de no tenerlo cuando llega EU AI Act enforcement (Aug 2 2026).
Cotizacion por alcance — agenda call diagnostico (30 min) y revisamos tu proyecto.
| Capability | Pure Harness Engineering (DIY) | OSSFIA |
|---|---|---|
| Time to ship governance harness | 6-12 meses dedicados | ~1 dia brownfield |
| Multi-runtime support | Lock-in | 14+ runtimes |
| DLP scrubber | DIY | 10 categorias + 20 tests/cat |
| Audit trail dual-rail | DIY | work_agent_executions schema |
| Compliance frameworks | 0-1 | 9 cross-mapped |
| CVE freshness | hardcoded | OSV.dev 24h refresh |
| LATAM regulatorio | invisible | Ley 1581, RIPS, SFC, SNIES, LGPD |
| Time-to-value vs costo | 12-24 meses ingeniería | ~1 día brownfield + retainer |
Battlecard completa con 14 capabilities + 6 objections + 5 closing tactics: framework/reference/marketing/battlecards/BATTLECARD_vs_Pure_Harness_Engineering.md en el repo publico.
10 fases, 3 macro-etapas, gates formales con enforcement automatizado. Reemplaza al SDLC tradicional para desarrollo con agentes autonomos.
Estrategia, dominio, conocimiento, arquitectura. Decidir que construir y bajo que restricciones regulatorias.
Contratos, build asistido por IA, TEVV (test + eval + verify + validate), security & compliance.
Deploy, operacion continua con GenOps, metricas, y evolucion basada en telemetria real.
Tu eliges el grado de autonomia. Nosotros te damos el mismo Baseline + GlassPlane debajo. Sin tier ni feature gating en compliance — la evidencia regulatoria es la misma sin importar como nos contrates.
Tu equipo construye, nosotros somos el harness y el sparring partner. Instalamos Baseline en tu repo, configuramos GlassPlane para tu portafolio, entrenamos a tus devs con los 17 subagentes especializados, y vamos retirando el andamiaje conforme tu equipo madura.
Nosotros construimos, tu recibes producto + evidencia. Tu pasas un intent (problema de negocio + restricciones), nuestros FABs (FullStack Agent Builders) ejecutan el ADLC F01-F10 autonomamente, y entregamos release + GlassPlane scorecard + AIBOM/SBOM firmados cada mes.
Mismo Baseline harness. Mismo GlassPlane. Mismas 18 dimensiones de compliance. Misma evidencia regulatoria. La diferencia es quien escribe el codigo — tu equipo o el nuestro — no que tan riguroso es el governance.
Plataforma de underwriting que mide la postura NIST AI RMF + MITRE ATLAS de tus asegurados continuamente, vía API, refresh cada 30 días. Mantienes el underwriting; nosotros te damos la evidencia objetiva debajo.
Tu asegurado implementa OSSFIA por su lado (Apuesta 2). Tu accedes scorecard via API con consent OAuth (Apuesta 1). Same baseline + GlassPlane underneath. B2B2B chain validado.
Targets LATAM Q3 2026 · pilot 3-phase setup → operational → scale · cotización por carrier engagement
GlassPlane es el dashboard privado que damos a cada cliente. Escanea tu proyecto contra 16 dimensiones de compliance en tiempo real. Tu equipo ve el score, tus auditores ven la evidencia.
Eres libre de ver hasta nuestras debilidades. Este portafolio muestra scores reales — EU AI Act 96, pero Gates 48. Asi trabajamos: sin cajas negras. Tus auditores pueden validar la evidencia directamente.
No solo medimos tu software. Lo ejecutamos cada 6 horas con agentes AI que navegan los flujos criticos como usuarios reales, y archivamos las grabaciones como evidencia auditable para tus reguladores.
DOM + mouse + keyboard + network de cada ejecucion, cifrados en R2 con retention 365 dias. Cumple ISO 42001 Annex B y EU AI Act Art. 72.
Validamos que tu chat IA (AURA u otros) responde correcto contra golden datasets — no por string match, por significado.
Simulamos doctor_senior, paciente_65+, admin_compliance, contador — y reportamos fricciones reales por persona.
Flows critical con fallas alertan al webhook de tu equipo en max 30 min. Escalacion automatica a 3 niveles si no hay ack.
Dashboards de compliance estaticos. Miden artefactos, no comportamiento vivo. $40-200K/ano.
Construyen software, pero sin evidencia regulatoria auditable. Cuando llega el regulador, tu tienes que armar el reporte.
Ambas cosas — construimos + monitoreamos + te damos la evidencia firmada cada mes. Incluido en retainer.
Implementado sobre Cloudflare Browser Run (GA 2026-04-15). Disponible automatico para clientes tier Growth y Enterprise. Sin cargo adicional al retainer mensual.
Cuando entregamos un sprint, viene con scoring contra los 10 marcos al mismo tiempo: NIST CSF 2.0, NIST AI RMF, EU AI Act, NIS2, ISO 42001, SOC 2, y los packs LATAM nativos. Sin servicios separados de "consultoria de compliance", sin re-trabajo, sin sorpresas para tu auditor.
Auditable contra CSF 2.0 (CSWP 29, Feb 2024), AI RMF 1.0 (AI 100-1), GenAI Profile (AI 600-1), SSDF v1.1 (SP 800-218 + 218A), SP 800-53r5
Mismo Baseline, mismo GlassPlane, mismo sprint — scoring contra todos al mismo tiempo
Article 14 (human oversight), Annex IV technical doc, conformity assessment. Pack + battlecard.
Article 21 — 10 medidas riesgo cyber. 18 sectores criticos UE. ~90% mapping con NIST CSF 2.0. Hasta €10M / 2% revenue.
Annex A controls, evidence collector script auto, mapping a SOC 2 CC + auditoria asistida.
Trust Service Criteria CC1-CC9, evidence collector existente, mapping cruzado con ISO 42001.
Si eres IPS en Colombia, cooperativa SFC, IES pública o sector regulado equivalente (manufactura crítica, telco, energía LATAM), arrancamos en ~1 día brownfield aditivo. Si tu sector NO está cubierto pero tiene regulación similar, trabajamos en un pack ajustado en 4-8 semanas y queda como referencia.
NIS2 Article 21 (10 medidas de gestion de riesgo cyber) tiene ~90% overlap con NIST CSF 2.0. Lo construimos una vez, reportamos en ambos formatos.
| NIS2 Article 21 — medida | NIST CSF 2.0 — funcion | OSSFIA |
|---|---|---|
| a) Risk analysis & info system security policies | GOVERN (GV.RM, GV.PO) | ✓ |
| b) Incident handling | RESPOND + RECOVER | ✓ |
| c) Business continuity & backup mgmt | RECOVER (RC.RP, RC.CO) | ✓ |
| d) Supply chain security | IDENTIFY (ID.SC) + AIBOM/SBOM | ✓ |
| e) Vulnerability handling & disclosure | PROTECT (PR.IP) + SECURITY.md | ✓ |
| f) Cybersecurity assessment policies | DETECT (DE.CM) + audits | ✓ |
| g) Cyber hygiene + training | PROTECT (PR.AT) | ✓ |
| h) Cryptography + encryption | PROTECT (PR.DS) | ✓ |
| i) Human resources security & access | GOVERN (GV.RR-04) + IDENTIFY | ✓ |
| j) MFA, secure comms, emergency comms | PROTECT (PR.AA, PR.PS) | ✓ |
Aplicable a essential entities (energia, salud, transporte, banca, infra digital, gobierno) y important entities (manufactura critica, alimentos, residuos, postal). Penalidades hasta €10M o 2% revenue global.
Cada prompt a un LLM externo se filtra contra estas 10 categorias. BLOCK absoluto, REDACT automatico, WARN auditable.
Habeas Data Ley 1581 nativo · GDPR Art. 9 · HIPAA Safe Harbor · ADR-FRAMEWORK-010 dogfooded
OSSFIA es metodologia propia de XCloud Solutions. La usamos para construir software propio, para encargo de terceros, y para co-creacion con clientes (siempre bajo contrato). Cada engagement se cotiza por alcance real — no publicamos tarifas porque cada caso es distinto.
Tu equipo + el nuestro construyen juntos. Tu pagas el harness + acompanamiento; el codigo y el harness quedan en tu repo.
Nosotros construimos, tu recibes producto + evidencia regulatoria mensual. Modelo outcome-based + GlassPlane score gates contractuales.
Para aseguradoras que necesitan medir compliance NIST AI RMF / MITRE ATLAS de sus clientes asegurados (B2B2B).
OSSFIA es propietario. Disponible solo bajo contrato. No es open source ni se licencia individualmente — es la metodología que usamos para construir.
No competimos con Cursor / Copilot / Codex (las usamos como runtime). Tampoco con DIY harness engineering (lo aplaudimos pero le sumamos las 3 capas). Tabla 16 capabilities, 6 columnas — incluyendo el "Pure Harness Engineering" que vende tiempo de ingeniero a 6-12 meses.
| Capacidad | Cursor | GitHub Copilot | MS AI Toolkit | Devin / Factory | Pure HE (DIY) | OSSFIA |
|---|---|---|---|---|---|---|
| Code generation | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ via 14+ runtimes |
| Multi-runtime governance | ✗ | ✗ | parcial | ✗ lock-in | DIY | ✓ 14+ runtimes |
| ADLC / Lifecycle 10 fases | ✗ | ✗ | ✗ | 3 fases | ✗ | ✓ F00-F10 |
| EU AI Act evidence auto | ✗ | ✗ | templates | ✗ | ✗ | ✓ Art 14 + Annex IV |
| NIS2 Directive UE (Art 21) | ✗ | ✗ | ✗ | ✗ | ✗ | ✓ 10 medidas riesgo |
| NIST CSF 2.0 + AI RMF | ✗ | ✗ | ~40% | ✗ | ✗ | 93% / 93% |
| DLP scrubber 10 categorias | ✗ | PII basico | PII basico | ✗ | ✗ DIY 6-12m | ✓ CDI/JDI/PHI/PFI/BIO+ |
| Audit trail dual-rail | ✗ | ✗ | ✗ | ✗ | ✗ DIY 3-6m | ✓ work_agent_executions |
| LATAM regulatorio nativo | ✗ | ✗ | ✗ | ✗ | ✗ invisible | ✓ 1581/1995/SFC/SNIES |
| Compliance dashboard live | ✗ | ✗ | excel exports | ✗ | DIY dashboards | ✓ GlassPlane 18-dim |
| Continuous Conformity (6h) | ✗ | ✗ | ✗ | ✗ | ✗ | ✓ unico en LATAM |
| Loop detection + drift | ✗ | ✗ | ✗ | ✗ | DIY hooks | ✓ pre_tool_use + daily-drift |
| AIBOM + SBOM firmados | ✗ | ✗ | SBOM solo | ✗ | ✗ | ✓ cosign + SLSA |
| CVE freshness (MCP packages) | ✗ | ✗ | manual | ✗ | hardcoded | ✓ OSV.dev 24h refresh |
| Time to ship governance | N/A (tool) | N/A (tool) | 2-4 sem M365 | N/A | 6-12 meses DIY | ~1 dia brownfield |
| On-prem soberano (LATAM) | ✗ SaaS | ✗ SaaS | Azure only | ✗ SaaS | ✓ DIY | ✓ deploy donde quieras |
| Modelo comercial | por developer | por developer | M365 license | por developer | 3-5 ingenieros internos | retainer LATAM (cotizado) |
Excelentes generadores de codigo. Tu equipo los seguira usando bajo OSSFIA — somos el harness, no el competidor.
Dashboards de governance estaticos. Solo miden artefactos, no construyen software ni integran con tu pipeline. Pricing enterprise alto.
3 pilares de Hashimoto/OpenAI/Fowler. Excelente teoria. 6-12 meses de 3-5 ingenieros para implementar. Y aun te faltan las 3 capas regulatorias.
3 pilares + 3 capas integradas. Brownfield aditivo en ~1 dia. Una sola fuente de verdad para tu CISO y tu CTO. $25-75K LATAM.
GlassPlane es nuestro propio control plane — lo construimos para nosotros mismos antes de licenciarlo. Si no lo aplicaramos a Baseline, no podriamos venderlo.
El mismo dashboard que entregamos a clientes lo aplicamos a nuestro propio repo Baseline (github.com/aforero22/baseline). 18 dimensiones de compliance, fingerprint dedup, 9 marcos regulatorios scoreados al mismo tiempo.
Nombres comerciales bajo NDA. Numeros y stacks son reales. Firmamos MSA + SOW antes de compartir referidos directos y arquitectura detallada.
Estos 3 casos representan los 3 packs LATAM productized que ofrecemos. Cada cliente tuvo brownfield aditivo. Sus reguladores no necesitan recibir un PDF para ver compliance — leen el GlassPlane scorecard live.
Firmamos MSA + SOW antes de compartir nombre comercial, arquitectura detallada o referidos directos. Agenda call diagnóstico para que podamos discutir tu caso.
30 minutos. Sin costo. Sin pitch deck. Te llevas un GlassPlane scorecard preliminar de tu proyecto.
Tengo equipo propio de devs. Necesito governance + compliance evidence sin reescribir mi SDLC.
Discutir adopcion →Necesito producto en produccion + evidencia regulatoria. No quiero contratar 15 ingenieros.
Iniciar factory →Llega EU AI Act, ISO 42001, SOC 2 o auditoria del regulador. Necesito evidencia auditable, no excels.
Gap assessment →Plataforma B2B2B de underwriting. NIST AI RMF + MITRE ATLAS scoring continuo de tus asegurados, vía API, refresh cada 30 días.
Pilot program →