Mis on turvaraportid?
Ülevaade
Turvaraportid on struktureeritud väljundid, mida loovad rakenduste turvakontrolli tööriistad ja mis tuvastavad, kategoriseerivad ning kokkuvõtlikult kirjeldavad võimalikke haavatavusi lähtekoodis ja tarkvara komponentides. Procurize AI-s toodetakse turvaraporteid peamiselt SonarQube abil ning need keskenduvad tööstuse tunnustatud haavatavuse standarditele.
Need aruanded pakuvad järjepidevat, masinloetavat viisi rakenduste turvakaitse hindamiseks toodete ja versioonide vahel.
Mis turvaraportid sisaldavad
Tüüpiline turvaraport sisaldab:
- Tuvastatud turva haavatavused
- Haavatavuste klassifikatsioonid ja kategooriad
- Tõsiduse või riski näitajad
- Mõjutanud komponendid või koodirada (välistatud avalikest aruannetest turvalisuse kaalutlustel)
- Skaneerimise täitmise metaandmed (tööriist, kuupäev, versioon)
See teave võimaldab meeskondadel jälgida turvariske, seadistada paranduste prioriteete ja näidata vastavust.
Toetatud turvastandardid
Procurize AI toetab SonarQube turvaraporteid, mis on kooskõlas laialdaselt kasutatavate standarditega, sealhulgas:
- OWASP Top 10 — tavalised veebirakenduste turvariskid
- CWE Top 25 — kõige ohtlikumad tarkvaravaeused
Need standardid pakuvad ühise keele arendajatele, turvatiimidele ja auditeerijatele.
Turvaraportide roll Procurize AI-s
Procurize AI-s on turvaraportid:
- Programmiliselt üleslaetud SonarQube Reports API abil
- Salvestatud keskse Turvaraportite hoidla-i
- Korraldatud toote ja versiooni järgi
- Nähtav armatuurlaudade, eksportide ja integratsioonide kaudu
Turvaraportid toimivad aluseks andmekihina vastavuse aruandluseks, turvamonitoorimiseks ja automatiseerimisvoogude jaoks.