As evidências de conformidade só funcionam se refletirem o estado atual do sistema.
Na Aikido, sempre tratamos a conformidade como um subproduto da boa segurança, não como um exercício separado para o qual as equipas precisam de se preparar. É por isso que Aikido com várias plataformas de conformidade. O objetivo é simples: permitir que as equipas utilizem os dados de segurança gerados na Aikido executem os seus programas de conformidade, sem alterar a forma como trabalham ou manter processos paralelos.
.png)
A IA competitiva é uma extensão natural dessa abordagem.
Os dados de segurança no Aikido gerados em cadência regular. Os repositórios são verificados, as vulnerabilidades são rastreadas por gravidade e a correção ocorre como parte do trabalho normal de engenharia. Essa integração torna esses mesmos dados utilizáveis dentro de uma plataforma de conformidade criada para avaliar verificações repetidamente, não apenas no momento da auditoria.
Porquê a Comp AI
A Comp AI é onde as equipas definem e executam programas de conformidade em estruturas como SOC 2, ISO 27001, HIPAA e GDPR. Os controlos, tarefas e verificações são estruturados com a expectativa de que possam ser avaliados repetidamente, em vez de serem revistos uma vez e arquivados.
O que torna o Comp AI uma opção tão adequada é a forma como ele trata as evidências. As evidências não são algo que as equipas carregam e gerem manualmente. São o resultado de verificações realizadas em sistemas conectados e que registam o que encontram. Em outras palavras, as evidências são verificadas, não reunidas.
Do lado Aikido, esse modelo está em estreita consonância com o funcionamento do produto. Aikido mantém uma visão atualizada das vulnerabilidades e atividades de verificação em todo o código, infraestrutura de nuvem e dependências. Ele sabe quais repositórios estão a ser verificados, quais problemas estão em aberto, a sua gravidade e se a correção foi realizada. Alimentar esses dados diretamente no Comp AI significa que as verificações de conformidade são baseadas nos mesmos sinais em que as equipas de segurança já confiam, sem introduzir novos fluxos de trabalho.
O que a Comp AI recebe do Aikido
Depois que a integração é ativada, o Comp AI extrai dados de vulnerabilidade e varredura diretamente do Aikido avalia as tarefas de conformidade em relação a eles.
Isso inclui:
- Provas de código seguro
- Problemas de segurança em aberto, agrupados por gravidade
- Atividade de verificação do repositório
- Identificação de varreduras obsoletas, como repositórios que não são varridos há mais de sete dias
Para monitorização e alerta, a Comp AI também avalia:
- Limites configuráveis para o número de problemas
- Resumos da classificação por gravidade
Esses sinais são usados para cumprir tarefas de conformidade relacionadas ao gerenciamento de vulnerabilidades práticas de código seguro, com base nos dados mais recentes disponíveis, em vez de artefatos pontuais.
Como funciona
.png)
Depois de conectar Aikido Comp AI, as equipas podem configurar o rigor das verificações de conformidade.
Eles podem definir a gravidade mínima que faz com que uma verificação falhe, estabelecer limites para o número aceitável de problemas em aberto, escolher quais repositórios devem ser incluídos e decidir se os problemas em espera contam para a conformidade. Isso permite que as verificações reflitam as políticas internas de risco, em vez de depender de padrões fixos.
Quando uma verificação é executada, o Comp AI avalia-a em relação aos dados mais recentes do Aikido. Se houver vulnerabilidades acima do limite configurado, a verificação reflete esse estado. Quando essas vulnerabilidades são corrigidas e a próxima verificação é concluída, o resultado é atualizado de acordo.
Não há nenhuma etapa separada para atualizar as evidências e não é necessário fazer novo upload de nada quando as condições mudam.
O que isso significa para as equipes
Para as equipas de engenharia, o trabalho diário não muda. As vulnerabilidades continuam a ser tratadas no Aikido.
Para as equipas de conformidade, a vantagem é a consistência. As evidências no Comp AI refletem o estado atual das atividades de verificação e correção, em vez de um instantâneo capturado num momento específico.
Para os auditores, isso fornece um contexto mais claro. Eles podem ver como as vulnerabilidades são identificadas, rastreadas e resolvidas ao longo do tempo, em vez de analisar artefatos isolados.
Não achamos que a conformidade deva afastar as equipas da forma como a segurança já funciona. Com a integração da Comp AI, a conformidade permanece próxima da fonte: dados reais de vulnerabilidade, atualizados em um ritmo previsível e avaliados onde as equipas já gerenciam os seus programas.
Uma nota de Henrick
Henrick Johansson, investidor residente em conformidade da Comp AI, resumiu bem:
«Os auditores não gostam de surpresas, e os fundadores também não deveriam gostar. Aikido as vulnerabilidades, o Comp AI regista a correção. A auditoria torna-se uma revisão, não uma investigação.»
Nós tendemos a concordar. A integração Aikido Comp AI está incluída em todos Aikido pagos Aikido e já está disponível.
Comece agora → https://trycomp.ai/docs/integrations/aikido
Proteja seu software agora
