Báo cáo bảo mật là gì?
Tổng quan
Báo cáo bảo mật là các đầu ra có cấu trúc do các công cụ quét bảo mật ứng dụng tạo ra, nhằm xác định, phân loại và tóm tắt các lỗ hổng có thể tồn tại trong mã nguồn và các thành phần phần mềm. Trong Procurize AI, các báo cáo bảo mật chủ yếu được tạo bởi SonarQube và tập trung vào các tiêu chuẩn lỗ hổng được công nhận trong ngành.
Các báo cáo này cung cấp một cách nhất quán, có thể đọc được bởi máy để đánh giá trạng thái bảo mật của ứng dụng trên các sản phẩm và phiên bản.
Nội dung của Báo cáo bảo mật
Một báo cáo bảo mật điển hình bao gồm:
- Các lỗ hổng bảo mật đã được xác định
- Phân loại và danh mục của lỗ hổng
- Các chỉ số mức độ nghiêm trọng hoặc rủi ro
- Các thành phần hoặc đường dẫn mã bị ảnh hưởng (không hiển thị trong báo cáo công khai vì lý do bảo mật)
- Siêu dữ liệu quá trình quét (công cụ, ngày, phiên bản)
Thông tin này giúp các đội ngũ theo dõi rủi ro bảo mật, ưu tiên khắc phục và chứng minh tuân thủ.
Các tiêu chuẩn bảo mật được hỗ trợ
Procurize AI hỗ trợ các báo cáo bảo mật SonarQube tuân theo các tiêu chuẩn phổ biến, bao gồm:
- OWASP Top 10 — các rủi ro bảo mật phổ biến nhất cho ứng dụng web
- CWE Top 25 — các điểm yếu phần mềm nguy hiểm nhất
Các tiêu chuẩn này cung cấp một ngôn ngữ chung cho lập trình viên, nhóm bảo mật và các kiểm toán viên.
Vai trò của Báo cáo bảo mật trong Procurize AI
Trong Procurize AI, các báo cáo bảo mật được:
- Tải lên một cách lập trình thông qua API Báo cáo SonarQube
- Lưu trữ trong Kho lưu trữ Báo cáo Bảo mật tập trung
- Sắp xếp theo sản phẩm và phiên bản
- Được cung cấp qua các bảng điều khiển, xuất dữ liệu và tích hợp hệ thống
Báo cáo bảo mật là lớp dữ liệu nền tảng cho việc báo cáo tuân thủ, giám sát bảo mật và các workflow tự động.