Kas yra saugumo ataskaitos?
Apžvalga
Saugumo ataskaitos yra struktūruoti rezultatai, kuriuos generuoja programų saugumo skenavimo įrankiai, identifikuojantys, klasifikuojantys ir apibendrinantys potencialias pažeidžiamumus šaltinio kode ir programinės įrangos komponentuose. Procurize AI saugumo ataskaitas pagrinde generuoja SonarQube ir jos remiasi pripažintomis pramonės pažeidžiamumo standartais.
Šios ataskaitos suteikia nuoseklų, mašinų skaitomą būdą įvertinti programų saugumo būklę įvairiuose produktuose ir jų versijose.
Ką apima saugumo ataskaitos
Įprastinė saugumo ataskaita apima:
- Identifikuotus saugumo pažeidžiamumus
- Pažeidžiamumo klasifikacijas ir kategorijas
- Rimtumo arba rizikos indikatorius
- Paveiktus komponentus arba kodo takus (išskirtus iš viešų ataskaitų dėl saugumo sumetimų)
- Skenavimo vykdymo metaduomenis (įrankis, data, versija)
Ši informacija leidžia komandoms stebėti saugumo rizikas, prioritetizuoti klaidų šalinimą ir demonstruoti atitiktį reikalavimams.
Palaikomi saugumo standartai
Procurize AI palaiko SonarQube saugumo ataskaitas, atitinkančias plačiai naudojamus standartus, įskaitant:
- OWASP Top 10 – dažniausi interneto programų saugumo rizikos veiksniai
- CWE Top 25 – pavojingiausios programinės įrangos silpnybės
Šie standartai suteikia bendrą kalbą kūrėjams, saugumo specialistams ir auditoriams.
Saugumo ataskaitų vaidmuo Procurize AI
Procurize AI viduje saugumo ataskaitos yra:
- Įkeliamos programiškai per SonarQube Reports API
- Saugomos centralizuotoje Saugumo ataskaitų saugykloje
- Organizavimosi pagal produktą ir versiją
- Pasiekiamos per skydelius, eksportus ir integracijas
Saugumo ataskaitos veikia kaip pagrindinis duomenų sluoksnis atitikties ataskaitų, saugumo stebėjimo ir automatizacijos darbo srautams.