Mitä turvallisuusraportit ovat?#
Yleiskatsaus#
Turvallisuusraportit ovat sovellusturvallisuuden skannaustyökalujen tuottamia jäsenneltyjä tuloksia, jotka tunnistavat, luokittelevat ja tiivistävät mahdolliset haavoittuvuudet lähdekoodissa ja ohjelmistokomponenteissa. Procurize AI:ssa turvallisuusraportit tuotetaan ensisijaisesti SonarQuben kautta, ja ne perustuvat alan tunnustettuihin haavoittuvuusstandardeihin.
Nämä raportit tarjoavat yhdenmukaisen, koneellisesti luettavan tavan arvioida sovelluksen turvallisuustilaa eri tuotteiden ja versioiden välillä.
Mitä turvallisuusraportit sisältävät#
Tyypillinen turvallisuusraportti sisältää:
- Tunnistetut turvallisuushaavoittuvuudet
- Haavoittuvuuksien luokittelut ja kategoriat
- Vakavuus- tai riskinäytöt
- Vaikuttavat komponentit tai koodipolut (julkisista raporteista poissuljettuina turvallisuussyistä)
- Skannauksen toteutustiedot (työkalu, päivämäärä, versio)
Nämä tiedot mahdollistavat tiimien seurata turvallisuusriskejä, priorisoida korjaustoimenpiteitä ja osoittaa noudattavansa vaatimuksia.
Tuetut turvallisuusstandardit#
Procurize AI tukee SonarQuben turvallisuusraportteja, jotka noudattavat laajalti käytettyjä standardeja, kuten:
- OWASP Top 10 — yleisimmät web-sovellusten turvallisuusriskit
- CWE Top 25 — vaarallisimmat ohjelmiston heikkoudet
Nämä standardit tarjoavat yhteisen kielen kehittäjille, turvallisuustiimeille ja tarkastajille.
Turvallisuusraporttien rooli Procurize AI:ssa#
Procurize AI:ssa turvallisuusraportit ovat:
- Ladattuja ohjelmallisesti SonarQube Reports API-rajapinnan kautta
- Tallennettuja keskitettyyn Security Reports Repository -varastoon
- Järjestettyjä tuotteen ja version mukaan
- Julkaistuja hallintapaneelien, vientien ja integraatioiden kautta
Turvallisuusraportit muodostavat perustavanlaatuisen datakerroksen compliance-raportointiin, turvallisuusseurantaan ja automaatiotyövirtoihin.