Što su sigurnosna izvješća?
Pregled
Sigurnosna izvješća su strukturirani izlazi koje generiraju alati za skeniranje sigurnosti aplikacija i koji identificiraju, kategoriziraju i sažimaju potencijalne ranjivosti u izvornom kodu i softverskim komponentama. U Procurize AI, sigurnosna izvješća primarno proizvodi SonarQube i fokusiraju se na industrijski priznata standarde ranjivosti.
Ova izvješća pružaju dosljedan, strojno čitljiv način za procjenu sigurnosnog stanja aplikacija kroz različite proizvode i verzije.
Što sigurnosna izvješća sadrže
Tipično sigurnosno izvješće uključuje:
- Identificirane sigurnosne ranjivosti
- Klasifikacije i kategorije ranjivosti
- Indikatore ozbiljnosti ili rizika
- Zainteresirane komponente ili putanje koda (isključene iz javnih izvješća iz sigurnosnih razloga)
- Metapodatke izvođenja skeniranja (alat, datum, verzija)
Ove informacije omogućuju timovima praćenje sigurnosnih rizika, prioritetizaciju otklanjanja i demonstraciju usklađenosti.
Podržani sigurnosni standardi
Procurize AI podržava SonarQube sigurnosna izvješća usklađena s široko korištenim standardima, uključujući:
- OWASP Top 10 — uobičajeni sigurnosni rizici web aplikacija
- CWE Top 25 — najopasnije slabosti softvera
Ovi standardi pružaju zajednički jezik za developere, timove za sigurnost i revizore.
Uloga sigurnosnih izvješća u Procurize AI
Unutar Procurize AI, sigurnosna izvješća su:
- Programatski učitana putem SonarQube Reports API-ja
- Pohranjena u centraliziranom repozitoriju sigurnosnih izvješća
- Organizirana po proizvodu i verziji
- Izložena kroz nadzorne ploče, izvoze i integracije
Sigurnosna izvješća služe kao temeljni sloj podataka za izvještavanje o usklađenosti, nadzor sigurnosti i automatizirane radne tokove.
Povezani članci
Repozitorij sigurnosnih izvješća