Compliance-Nachweise sind nur dann wirksam, wenn sie den aktuellen Zustand des Systems widerspiegeln.
Bei Aikido haben wir Compliance schon immer als Nebenprodukt guter Sicherheit betrachtet, nicht als separate Aufgabe, auf die sich Teams vorbereiten müssen. Deshalb integriert sich Aikido in mehrere Compliance-Plattformen. Das Ziel ist einfach: Teams sollen die in Aikido generierten Sicherheitsdaten überall dort nutzen können, wo sie ihre Compliance-Programme ausführen, ohne ihre Arbeitsweise zu ändern oder parallele Prozesse aufrechtzuerhalten.
.png)
Comp AI ist eine natürliche Erweiterung dieses Ansatzes.
Sicherheitsdaten in Aikido werden regelmäßig generiert. Repositorys werden gescannt, Schwachstellen werden nach Schweregrad verfolgt und die Behebung erfolgt im Rahmen der normalen Entwicklungsarbeit. Diese Integration macht dieselben Daten in einer Compliance-Plattform nutzbar, die darauf ausgelegt ist, Prüfungen wiederholt zu bewerten, nicht nur zum Zeitpunkt eines Audits.
Warum Comp AI
Mit Comp AI definieren und führen Teams Compliance-Programme über Frameworks wie SOC 2, ISO 27001, HIPAA und GDPR hinweg aus. Kontrollen, Aufgaben und Prüfungen sind so strukturiert, dass sie wiederholt bewertet werden können, anstatt einmal überprüft und archiviert zu werden.
Was Comp AI so passend macht, ist der Umgang mit Nachweisen. Nachweise werden nicht manuell von Teams hochgeladen und verwaltet. Sie sind das Ergebnis von Prüfungen, die gegen verbundene Systeme laufen und ihre Ergebnisse aufzeichnen. Mit anderen Worten: Nachweise werden geprüft, nicht zusammengestellt.
Aus Sicht von Aikido stimmt dieses Modell eng mit der Funktionsweise des Produkts überein. Aikido pflegt bereits eine aktuelle Übersicht über Schwachstellen- und Scan-Aktivitäten über Code, Cloud-Infrastruktur und Abhängigkeiten hinweg. Es weiß, welche Repositorys gescannt werden, welche Probleme offen sind, deren Schweregrad und ob eine Behebung stattgefunden hat. Die direkte Einspeisung dieser Daten in Comp AI bedeutet, dass Compliance-Prüfungen auf denselben Signalen basieren, denen Sicherheitsteams bereits vertrauen, ohne neue Workflows einzuführen.
Was Comp AI von Aikido erhält
Sobald die Integration aktiviert ist, ruft Comp AI Schwachstellen- und Scandaten direkt von Aikido ab und bewertet Compliance-Aufgaben dagegen.
Dies umfasst:
- Nachweise für sicheren Code
- Offene Sicherheitsprobleme, nach Schweregrad gruppiert
- Repository-Scan-Aktivitäten
- Identifizierung veralteter Scans, z. B. Repositorys, die seit über sieben Tagen nicht gescannt wurden
Für Monitoring und Alerting bewertet Comp AI außerdem:
- Konfigurierbare Schwellenwerte für die Anzahl der Probleme
- Zusammenfassungen der Schweregrad-Aufschlüsselung
Diese Signale werden verwendet, um Compliance-Aufgaben im Zusammenhang mit Schwachstellenmanagement und sicheren Code-Praktiken zu erfüllen, basierend auf den neuesten verfügbaren Daten und nicht auf Momentaufnahmen.
So funktioniert's
.png)
Nach der Verbindung von Aikido mit Comp AI können Teams konfigurieren, wie streng Compliance-Prüfungen sein sollen.
Sie können den minimalen Schweregrad definieren, der zum Fehlschlagen einer Prüfung führt, Grenzwerte für die Anzahl akzeptabler offener Probleme festlegen, auswählen, welche Repositorys einbezogen werden sollen, und entscheiden, ob zurückgestellte Probleme zur Compliance zählen. Dadurch können Prüfungen interne Risikorichtlinien widerspiegeln, anstatt sich auf feste Standardwerte zu verlassen.
Wenn eine Prüfung läuft, bewertet Comp AI diese anhand der aktuellsten Daten von Aikido. Sind Schwachstellen oberhalb des konfigurierten Schwellenwerts vorhanden, spiegelt die Prüfung diesen Zustand wider. Werden diese Schwachstellen behoben und der nächste Scan abgeschlossen, aktualisiert sich das Ergebnis entsprechend.
Es gibt keinen separaten Schritt zur Aktualisierung von Nachweisen und keine Notwendigkeit, etwas erneut hochzuladen, wenn sich die Bedingungen ändern.
Was das für Teams bedeutet
Für Engineering-Teams ändert sich die tägliche Arbeit nicht. Schwachstellen werden weiterhin in Aikido behandelt.
Für Compliance-Teams liegt der Vorteil in der Konsistenz. Nachweise in Comp AI spiegeln den aktuellen Zustand der Scan- und Behebungsaktivitäten wider und nicht eine Momentaufnahme zu einem bestimmten Zeitpunkt.
Für Auditoren bietet dies einen klareren Kontext. Sie können sehen, wie Schwachstellen im Laufe der Zeit identifiziert, verfolgt und behoben werden, anstatt isolierte Artefakte zu überprüfen.
Wir glauben nicht, dass Compliance Teams von der bereits etablierten Sicherheitsarbeit ablenken sollte. Mit der Comp AI-Integration bleibt Compliance nah an der Quelle: echten Schwachstellendaten, die in einem vorhersehbaren Rhythmus aktualisiert und dort bewertet werden, wo Teams ihre Programme bereits verwalten.
Eine Notiz von Henrick
Henrick Johansson, Comp AIs Compliance-Investor-in-Residence, fasste es gut zusammen:
„Auditoren mögen keine Überraschungen, und Gründer sollten es auch nicht. Aikido findet die Schwachstellen, Comp AI dokumentiert die Behebung. Das Audit wird zu einer Überprüfung, nicht zu einer Untersuchung.“
Dem stimmen wir zu. Die Aikido × Comp AI Integration ist in allen kostenpflichtigen Aikido-Plänen enthalten und ist ab heute verfügbar.
Jetzt starten → https://trycomp.ai/docs/integrations/aikido
