Apa Itu Laporan Keamanan?
Gambaran Umum
Laporan keamanan adalah output terstruktur yang dihasilkan oleh alat pemindaian keamanan aplikasi yang mengidentifikasi, mengkategorikan, dan merangkum potensi kerentanan dalam kode sumber dan komponen perangkat lunak. Di Procurize AI, laporan keamanan terutama diproduksi oleh SonarQube dan berfokus pada standar kerentanan yang diakui secara industri.
Laporan ini memberikan cara yang konsisten dan dapat dibaca mesin untuk menilai postur keamanan aplikasi di seluruh produk dan versi.
Apa yang Termasuk dalam Laporan Keamanan
Sebuah laporan keamanan khas mencakup:
- Kerentanan keamanan yang teridentifikasi
- Klasifikasi dan kategori kerentanan
- Indikator keparahan atau risiko
- Komponen atau jalur kode yang terpengaruh (dikecualikan dari laporan publik demi alasan keamanan)
- Metadata pelaksanaan pemindaian (tools, tanggal, versi)
Informasi ini memungkinkan tim melacak risiko keamanan, memprioritaskan perbaikan, dan menunjukkan kepatuhan.
Standar Keamanan yang Didukung
Procurize AI mendukung laporan keamanan SonarQube yang selaras dengan standar yang banyak dipakai, antara lain:
- OWASP Top 10 — risiko keamanan aplikasi web umum
- CWE Top 25 — kelemahan perangkat lunak paling berbahaya
Standar-standar ini menyediakan bahasa bersama bagi pengembang, tim keamanan, dan auditor.
Peran Laporan Keamanan di Procurize AI
Dalam Procurize AI, laporan keamanan adalah:
- Diunggah secara programatik melalui API Laporan SonarQube
- Disimpan dalam Repositori Laporan Keamanan terpusat
- Diatur berdasarkan produk dan versi
- Ditampilkan melalui dasbor, ekspor, dan integrasi
Laporan keamanan berfungsi sebagai lapisan data dasar untuk pelaporan kepatuhan, pemantauan keamanan, dan alur kerja otomatisasi.