Compliance sind nur dann wirksam, wenn sie den aktuellen Zustand des Systems widerspiegeln.
Bei Aikido haben wir compliance immer compliance Nebenprodukt guter Sicherheit betrachtet und nicht compliance separate Aufgabe, auf die sich Teams vorbereiten müssen. Aus diesem Grund Aikido in mehrere compliance Aikido . Das Ziel ist einfach: Teams sollen die in Aikido generierten Sicherheitsdaten Aikido nutzen können, Aikido sie ihre compliance ausführen, ohne ihre Arbeitsweise ändern oder parallele Prozesse pflegen zu müssen.
.png)
Comp AI ist eine natürliche Erweiterung dieses Ansatzes.
Sicherheitsdaten Aikido bei Aikido regelmäßig generiert. Repositorys werden gescannt, Schwachstellen werden nach Schweregrad verfolgt und die Behebung erfolgt im Rahmen der normalen technischen Arbeit. Durch diese Integration können dieselben Daten in einer compliance verwendet werden, die dafür ausgelegt ist, Überprüfungen nicht nur zum Zeitpunkt der Prüfung, sondern wiederholt durchzuführen.
Warum Comp AI?
Comp AI ist der Ort, an dem Teams compliance für verschiedene Rahmenwerke wie SOC 2, ISO 27001, HIPAA und DSGVO definieren und ausführen. Kontrollen, Aufgaben und Überprüfungen sind so strukturiert, dass sie wiederholt bewertet werden können, anstatt nur einmal überprüft und dann archiviert zu werden.
Was Comp AI so besonders macht, ist die Art und Weise, wie es mit Beweisen umgeht. Beweise sind nicht etwas, das Teams manuell hochladen und verwalten. Sie sind das Ergebnis von Überprüfungen, die in verbundenen Systemen durchgeführt werden und deren Ergebnisse protokolliert werden. Mit anderen Worten: Beweise werden überprüft, nicht zusammengestellt.
Aus Sicht Aikidoentspricht dieses Modell genau der Funktionsweise des Produkts. Aikido verfügt Aikido über einen aktuellen Überblick über Schwachstellen und Scan-Aktivitäten in Code, Cloud-Infrastruktur und Abhängigkeiten. Es weiß, welche Repositorys gescannt werden, welche Probleme offen sind, wie schwerwiegend diese sind und ob Abhilfemaßnahmen ergriffen wurden. Durch die direkte Einspeisung dieser Daten in Comp AI basieren compliance auf denselben Signalen, denen Sicherheitsteams bereits vertrauen, ohne dass neue Workflows eingeführt werden müssen.
Was Comp AI von Aikido erhält
Sobald die Integration aktiviert ist, ruft Comp AI Schwachstellen- und Scandaten direkt aus Aikido ab Aikido bewertet anhand dieser Daten compliance .
Dazu gehören:
- Sichere Code-Nachweise
- Offene Sicherheitsprobleme, nach Schweregrad gruppiert
- Repository-Scan-Aktivität
- Identifizierung veralteter Scans, z. B. Repositorys, die seit mehr als sieben Tagen nicht mehr gescannt wurden
Für die Überwachung und Alarmierung wertet Comp AI außerdem Folgendes aus:
- Konfigurierbare Schwellenwerte für die Anzahl der Probleme
- Zusammenfassungen der Schweregradaufschlüsselung
Diese Signale werden verwendet, um compliance im Zusammenhang mit Schwachstellenmanagement sicheren Code-Praktiken zu erfüllen, basierend auf den neuesten verfügbaren Daten und nicht auf punktuellen Artefakten.
So funktioniert's
.png)
Nachdem Aikido Comp AI verbunden wurde, können Teams konfigurieren, wie streng compliance sein sollen.
Sie können den Mindestschweregrad festlegen, bei dem eine Prüfung fehlschlägt, Grenzen für die Anzahl der zulässigen offenen Probleme festlegen, auswählen, welche Repositorys einbezogen werden sollen, und entscheiden, ob zurückgestellte Probleme für compliance berücksichtigt werden. Auf diese Weise können Prüfungen interne Risikorichtlinien widerspiegeln, anstatt sich auf feste Standardeinstellungen zu verlassen.
Wenn eine Überprüfung durchgeführt wird, bewertet Comp AI diese anhand der neuesten Daten von Aikido. Wenn Schwachstellen vorhanden sind, die über dem konfigurierten Schwellenwert liegen, spiegelt die Überprüfung diesen Zustand wider. Wenn diese Schwachstellen behoben sind und der nächste Scan abgeschlossen ist, wird das Ergebnis entsprechend aktualisiert.
Es gibt keinen separaten Schritt zum Aktualisieren von Nachweisen und es ist nicht erforderlich, etwas erneut hochzuladen, wenn sich die Bedingungen ändern.
Was das für Teams bedeutet
Für die Ingenieurteams ändert sich an der täglichen Arbeit nichts. Schwachstellen werden weiterhin in Aikido behandelt.
Für compliance liegt der Vorteil in der Konsistenz. Die Nachweise in Comp AI spiegeln den aktuellen Stand der Scan- und Korrekturmaßnahmen wider und sind keine Momentaufnahme zu einem bestimmten Zeitpunkt.
Für Auditoren bietet dies einen klareren Kontext. Sie können sehen, wie Schwachstellen im Laufe der Zeit identifiziert, verfolgt und behoben werden, anstatt isolierte Artefakte zu überprüfen.
Wir sind der Meinung, dass compliance Teams nicht davon abhalten compliance , die bereits bestehenden Sicherheitsmaßnahmen fortzuführen. Mit der Integration von Comp AI compliance nah an der Quelle: echte Schwachstellendaten, die in vorhersehbaren Abständen aktualisiert und dort ausgewertet werden, wo Teams bereits ihre Programme verwalten.
Eine Notiz von Henrick
Henrick Johansson, compliance bei Comp AI, fasste es treffend zusammen:
„Auditoren mögen keine Überraschungen, und Gründer sollten das auch nicht. Aikido die Schwachstellen, Comp AI dokumentiert die Abhilfemaßnahmen. Die Prüfung wird zu einer Überprüfung, nicht zu einer Untersuchung.“
Wir stimmen dem zu. Die Integration Aikido Comp AI ist in allen kostenpflichtigen Aikido enthalten und ab sofort verfügbar.
Loslegen → https://trycomp.ai/docs/integrations/aikido
Sichern Sie Ihre Software jetzt.
