Τι είναι οι Αναφορές Ασφάλειας;
Επισκόπηση
Οι αναφορές ασφάλειας είναι δομημένα αποτελέσματα που παράγονται από εργαλεία σάρωσης ασφαλείας εφαρμογών και εντοπίζουν, κατηγοριοποιούν και συνοψίζουν πιθανούς κίνδυνους σε κώδικα πηγαίου κώδικα και σε λογισμικά στοιχεία. Στην Procurize AI, οι αναφορές ασφάλειας παράγονται κυρίως από το SonarQube και εστιάζουν σε πρότυπα ευπάθειας που αναγνωρίζονται από τη βιομηχανία.
Αυτές οι αναφορές προσφέρουν έναν συνεπή, μηχανική με έντονη μορφή τρόπο αξιολόγησης της κατάστασης ασφαλείας μιας εφαρμογής μεταξύ προϊόντων και εκδόσεων.
Τι Περιλαμβάνει μια Αναφορά Ασφάλειας
Μια τυπική αναφορά ασφάλειας περιλαμβάνει:
- Αναγνωρισμένες ευπάθειες ασφαλείας
- Κατηγορίες και ταξινομήσεις ευπάθειας
- Δείκτες σοβαρότητας ή κινδύνου
- Πιθανά επηρεαζόμενα συστατικά ή διαδρομές κώδικα (αποκρύπτονται από τις δημόσιες αναφορές για λόγους ασφαλείας)
- Μεταδεδομένα εκτέλεσης σάρωσης (εργαλείο, ημερομηνία, έκδοση)
Αυτές οι πληροφορίες επιτρέπουν στις ομάδες να παρακολουθούν τους κινδύνους ασφαλείας, να προτεραιοποιούν τις ενέργειες αποκατάστασης και να αποδεικνύουν τη συμμόρφωση.
Υποστηριζόμενα Πρότυπα Ασφάλειας
Η Procurize AI υποστηρίζει αναφορές ασφάλειας SonarQube συμμορφωμένες με ευρέως χρησιμοποιούμενα πρότυπα, μεταξύ των οποίων:
- OWASP Top 10 — συνηθισμένοι κίνδυνοι ασφαλείας διαδικτυακών εφαρμογών
- CWE Top 25 — οι πιο επικίνδυνες αδυναμίες λογισμικού
Αυτά τα πρότυπα παρέχουν κοινή γλώσσα για προγραμματιστές, ομάδες ασφαλείας και ελεγκτές.
Ρόλος των Αναφορών Ασφάλειας στην Procurize AI
Στην Procurize AI, οι αναφορές ασφάλειας είναι:
- Ανεβασμένες προγραμματιστικά μέσω του SonarQube Reports API
- Αποθηκευμένες σε μια κεντρική Αποθήκη Αναφορών Ασφάλειας
- Οργανωμένες ανά προϊόν και έκδοση
- Διαθέσιμες μέσω πινάκων ελέγχου, εξαγώσεων και ενσωματώσεων
Οι αναφορές ασφάλειας αποτελούν το θεμελιώδες στρώμα δεδομένων για αναφορές συμμόρφωσης, παρακολούθηση ασφαλείας και αυτοματοποιημένες ροές εργασίας.