Mik azok a biztonsági jelentések?
Áttekintés
Biztonsági jelentések strukturált kimenetek, amelyeket az alkalmazásbiztonsági vizsgálati eszközök generálnak, és amelyek azonosítják, kategorizálják, valamint összegzik a forráskód és a szoftverkomponensek lehetséges sebezhetőségeit. A Procurize AI-ban a biztonsági jelentéseket elsősorban a SonarQube állítja elő, és iparágban elismert sebezhetőségi szabványokra koncentrálnak.
Ezek a jelentések egységes, géppel olvasható módot biztosítanak az alkalmazásbiztonsági helyzet értékelésére termékek és verziók között.
Mit tartalmaz a biztonsági jelentés
Egy tipikus biztonsági jelentés a következőket tartalmazza:
- Azonosított biztonsági sebezhetőségek
- Sebezhetőség osztályozásai és kategóriái
- Súlyossági vagy kockázati mutatók
- Érintett komponensek vagy kódelágak (biztonsági okokból a nyilvános jelentésekből kizárva)
- Vizsgálat végrehajtásának metaadatai (eszköz, dátum, verzió)
Ez az információ lehetővé teszi a csapatok számára a biztonsági kockázatok nyomon követését, a javítások priorizálását, és a megfelelőség demonstrálását.
Támogatott biztonsági szabványok
A Procurize AI támogatja a SonarQube biztonsági jelentéseket, amelyek a széles körben használt szabványokhoz igazodnak, többek között:
- OWASP Top 10 — az általános webalkalmazás biztonsági kockázatok
- CWE Top 25 — a legveszélyesebb szoftverhibák
Ezek a szabványok közös nyelvet biztosítanak a fejlesztők, biztonsági csapatok és auditok számára.
A biztonsági jelentések szerepe a Procurize AI-ban
A Procurize AI-ban a biztonsági jelentések:
- Programozottan feltöltve a SonarQube Reports API segítségével
- Központosított Biztonsági jelentések adattárban tárolva
- Termék és verzió szerint szervezve
- Műszerfalakon, exportokon és integrációkon keresztül elérhetők
A biztonsági jelentések az alapvető adatréteget képezik a megfelelőségi jelentésekhez, biztonsági monitorozáshoz és automatizált munkafolyamatokhoz.
Kapcsolódó cikkek
Biztonsági jelentések adattára