รายงานความปลอดภัยคืออะไร?
ภาพรวม
รายงานความปลอดภัย เป็นผลลัพธ์ที่มีโครงสร้างซึ่งสร้างโดยเครื่องมือสแกนความปลอดภัยของแอปพลิเคชันที่ระบุ จัดประเภท และสรุปช่องโหว่ที่อาจเกิดขึ้นในซอร์สโค้ดและส่วนประกอบซอฟต์แวร์ ใน Procurize AI รายงานความปลอดภัยส่วนใหญ่ถูกสร้างโดย SonarQube และมุ่งเน้นมาตรฐานช่องโหว่ที่ได้รับการยอมรับในอุตสาหกรรม
รายงานเหล่านี้ให้วิธีการที่สอดคล้องกันและอ่านได้โดยเครื่องจักรเพื่อประเมินระดับความปลอดภัยของแอปพลิเคชันข้ามผลิตภัณฑ์และเวอร์ชัน
สิ่งที่รายงานความปลอดภัยประกอบด้วย
รายงานความปลอดภัยทั่วไปจะรวมถึง:
- ช่องโหว่ความปลอดภัยที่ระบุ
- การจำแนกและประเภทของช่องโหว่
- ตัวบ่งชี้ระดับความรุนแรงหรือความเสี่ยง
- ส่วนประกอบหรือเส้นทางโค้ดที่ได้รับผลกระทบ (ยกเว้นจากรายงานสาธารณะเพื่อเหตุผลด้านความปลอดภัย)
- เมทาดาต้าการสแกน (เครื่องมือ, วันที่, เวอร์ชัน)
ข้อมูลเหล่านี้ทำให้ทีมงานสามารถติดตามความเสี่ยงด้านความปลอดภัย, กำหนดลำดับความสำคัญในการแก้ไข, และแสดงหลักฐานการปฏิบัติตามได้
มาตรฐานความปลอดภัยที่สนับสนุน
Procurize AI รองรับรายงานความปลอดภัยของ SonarQube ที่สอดคล้องกับมาตรฐานที่ใช้กันอย่างกว้างขวาง รวมถึง:
- OWASP Top 10 — ความเสี่ยงด้านความปลอดภัยเว็บแอปพลิเคชันทั่วไป
- CWE Top 25 — จุดอ่อนซอฟต์แวร์ที่อันตรายที่สุด
มาตรฐานเหล่านี้ให้ภาษาที่ใช้ร่วมกันสำหรับนักพัฒนา, ทีมความปลอดภัย, และผู้ตรวจสอบ
บทบาทของรายงานความปลอดภัยใน Procurize AI
ภายใน Procurize AI รายงานความปลอดภัยจะถูก:
- อัปโหลดโดยอัตโนมัติผ่าน SonarQube Reports API
- เก็บไว้ใน คลังข้อมูลรายงานความปลอดภัย ที่รวมศูนย์
- จัดระเบียบตามผลิตภัณฑ์และเวอร์ชัน
- เปิดเผยผ่านแดชบอร์ด, การส่งออก, และการผสานรวม
รายงานความปลอดภัยทำหน้าที่เป็นชั้นข้อมูลพื้นฐานสำหรับการรายงานการปฏิบัติตาม, การเฝ้าตรวจสอบความปลอดภัย, และเวิร์กโฟลว์อัตโนมัติ