Mitä turvallisuusraportit ovat?
Yleiskatsaus
Turvallisuusraportit ovat sovellusturvallisuuden skannaustyökalujen tuottamia jäsenneltyjä tuloksia, jotka tunnistavat, luokittelevat ja tiivistävät mahdolliset haavoittuvuudet lähdekoodissa ja ohjelmistokomponenteissa. Procurize AI:ssa turvallisuusraportit tuotetaan ensisijaisesti SonarQuben kautta, ja ne perustuvat alan tunnustettuihin haavoittuvuusstandardeihin.
Nämä raportit tarjoavat yhdenmukaisen, koneellisesti luettavan tavan arvioida sovelluksen turvallisuustilaa eri tuotteiden ja versioiden välillä.
Mitä turvallisuusraportit sisältävät
Tyypillinen turvallisuusraportti sisältää:
- Tunnistetut turvallisuushaavoittuvuudet
- Haavoittuvuuksien luokittelut ja kategoriat
- Vakavuus- tai riskinäytöt
- Vaikuttavat komponentit tai koodipolut (julkisista raporteista poissuljettuina turvallisuussyistä)
- Skannauksen toteutustiedot (työkalu, päivämäärä, versio)
Nämä tiedot mahdollistavat tiimien seurata turvallisuusriskejä, priorisoida korjaustoimenpiteitä ja osoittaa noudattavansa vaatimuksia.
Tuetut turvallisuusstandardit
Procurize AI tukee SonarQuben turvallisuusraportteja, jotka noudattavat laajalti käytettyjä standardeja, kuten:
- OWASP Top 10 — yleisimmät web-sovellusten turvallisuusriskit
- CWE Top 25 — vaarallisimmat ohjelmiston heikkoudet
Nämä standardit tarjoavat yhteisen kielen kehittäjille, turvallisuustiimeille ja tarkastajille.
Turvallisuusraporttien rooli Procurize AI:ssa
Procurize AI:ssa turvallisuusraportit ovat:
- Ladattuja ohjelmallisesti SonarQube Reports API-rajapinnan kautta
- Tallennettuja keskitettyyn Security Reports Repository -varastoon
- Järjestettyjä tuotteen ja version mukaan
- Julkaistuja hallintapaneelien, vientien ja integraatioiden kautta
Turvallisuusraportit muodostavat perustavanlaatuisen datakerroksen compliance-raportointiin, turvallisuusseurantaan ja automaatiotyövirtoihin.