Evidências de conformidade só funcionam se refletirem o estado atual do sistema.
Na Aikido, sempre tratamos a conformidade como um subproduto de uma boa segurança, e não como um exercício separado para o qual as equipes precisam se preparar. É por isso que o Aikido se integra a múltiplas plataformas de conformidade. O objetivo é simples: permitir que as equipes usem os dados de segurança gerados no Aikido onde quer que executem seus programas de conformidade, sem alterar a forma como trabalham ou manter processos paralelos.
.png)
Comp AI é uma extensão natural dessa abordagem.
Dados de segurança no Aikido são gerados em uma cadência regular. Repositórios são escaneados, vulnerabilidades são rastreadas por severidade, e a remediação ocorre como parte do trabalho de engenharia normal. Essa integração torna esses mesmos dados utilizáveis dentro de uma plataforma de conformidade construída para avaliar verificações repetidamente, e não apenas no momento da auditoria.
Por que o Comp AI
O Comp AI é onde as equipes definem e executam programas de conformidade em frameworks como SOC 2, ISO 27001, HIPAA e GDPR. Controles, tarefas e verificações são estruturados com a expectativa de que possam ser avaliados repetidamente, em vez de serem revisados uma única vez e arquivados.
O que torna o Comp AI uma solução ideal é a forma como ele trata as evidências. Evidências não são algo que as equipes carregam e gerenciam manualmente. É o resultado de verificações que são executadas em sistemas conectados e registram o que encontram. Em outras palavras, a evidência é verificada, não montada.
Do lado do Aikido, esse modelo se alinha de perto com o funcionamento do produto. O Aikido já mantém uma visão atualizada da atividade de vulnerabilidade e varredura em código, infraestrutura Cloud e dependências. Ele sabe quais repositórios estão sendo escaneados, quais problemas estão abertos, sua severidade e se a remediação ocorreu. Alimentar esses dados diretamente no Comp AI significa que as verificações de conformidade são baseadas nos mesmos sinais em que as equipes de segurança já confiam, sem introduzir novos fluxos de trabalho.
O que o Comp AI recebe do Aikido
Uma vez que a integração é habilitada, o Comp AI puxa dados de vulnerabilidade e varredura diretamente do Aikido e avalia tarefas de conformidade com base neles.
Isso inclui:
- Evidências de código seguro
- Problemas de segurança abertos, agrupados por severidade
- Atividade de varredura de repositórios
- Identificação de varreduras desatualizadas, como repositórios não escaneados há mais de sete dias
Para monitoramento e alertas, o Comp AI também avalia:
- Limites configuráveis de contagem de problemas
- Resumos de detalhamento de severidade
Esses sinais são usados para atender a tarefas de conformidade relacionadas ao gerenciamento de vulnerabilidades e práticas de código seguro, com base nos dados mais recentes disponíveis, em vez de artefatos pontuais.
Como funciona
.png)
Após conectar o Aikido ao Comp AI, as equipes podem configurar o quão rigorosas devem ser as verificações de conformidade.
Eles podem definir a severidade mínima que faz com que uma verificação falhe, estabelecer limites para o número de problemas abertos aceitáveis, escolher quais repositórios devem ser incluídos e decidir se os problemas adiados contam para a conformidade. Isso permite que as verificações reflitam as políticas de risco internas, em vez de depender de padrões fixos.
Quando uma verificação é executada, o Comp AI a avalia em relação aos dados mais recentes do Aikido. Se houver vulnerabilidades acima do limite configurado, a verificação reflete esse estado. Quando essas vulnerabilidades são corrigidas e a próxima varredura é concluída, o resultado é atualizado de acordo.
Não há uma etapa separada para atualizar as evidências e não há necessidade de reenviar nada quando as condições mudam.
O que isso significa para as equipes
Para as equipes de engenharia, o trabalho diário não muda. As vulnerabilidades ainda são tratadas no Aikido.
Para as equipes de conformidade, o benefício é a consistência. As evidências no Comp AI refletem o estado atual da atividade de varredura e remediação, em vez de um instantâneo tirado em um momento específico.
Para os auditores, isso proporciona um contexto mais claro. Eles podem ver como as vulnerabilidades são identificadas, rastreadas e resolvidas ao longo do tempo, em vez de revisar artefatos isolados.
Não acreditamos que a conformidade deva afastar as equipes de como a segurança já funciona. Com a integração do Comp AI, a conformidade permanece próxima da fonte: dados reais de vulnerabilidades, atualizados em uma cadência previsível e avaliados onde as equipes já gerenciam seus programas.
Uma nota de Henrick
Henrick Johansson, investidor-residente em conformidade do Comp AI, resumiu bem:
“Auditores não gostam de surpresas, e fundadores também não deveriam. O Aikido encontra as vulnerabilidades, o Comp AI registra a remediação. A auditoria se torna uma revisão, não uma investigação.”
Nós tendemos a concordar. A integração Aikido × Comp AI está incluída em todos os planos pagos do Aikido e está disponível hoje.
Comece agora → https://trycomp.ai/docs/integrations/aikido
