Les preuves de conformité ne sont valables que si elles reflètent l'état actuel du système.
Chez Aikido, nous avons toujours considéré la conformité comme un sous-produit d'une bonne sécurité, et non comme un exercice distinct auquel les équipes doivent se préparer. C'est pourquoi Aikido s'intègre à de multiples plateformes de conformité. L'objectif est simple : permettre aux équipes d'utiliser les données de sécurité générées dans Aikido partout où elles exécutent leurs programmes de conformité, sans modifier leur façon de travailler ni maintenir de processus parallèles.
.png)
Comp AI est une extension naturelle de cette approche.
Les données de sécurité dans Aikido sont générées à une cadence régulière. Les dépôts sont scannés, les vulnérabilités sont suivies par niveau de gravité, et la remédiation s'effectue dans le cadre du travail d'ingénierie normal. Cette intégration rend ces mêmes données utilisables au sein d'une plateforme de conformité conçue pour évaluer les contrôles de manière répétée, et pas seulement au moment de l'audit.
Pourquoi Comp AI
Comp AI est l'endroit où les équipes définissent et exécutent des programmes de conformité à travers des cadres tels que SOC 2, ISO 27001, HIPAA et GDPR. Les contrôles, les tâches et les vérifications sont structurés avec l'attente qu'ils puissent être évalués de manière répétée, plutôt que d'être examinés une seule fois et archivés.
Ce qui fait de Comp AI une solution idéale, c'est la façon dont elle traite les preuves. Les preuves ne sont pas quelque chose que les équipes téléchargent et gèrent manuellement. C'est le résultat de vérifications effectuées sur des systèmes connectés qui enregistrent ce qu'elles trouvent. En d'autres termes, les preuves sont vérifiées, non assemblées.
Du côté d'Aikido, ce modèle s'aligne étroitement avec le fonctionnement du produit. Aikido maintient déjà une vue à jour de l'activité de vulnérabilité et de scanning à travers le code, l'infrastructure cloud et les dépendances. Il sait quels dépôts sont scannés, quels problèmes sont ouverts, leur gravité, et si une remédiation a eu lieu. Alimenter ces données directement dans Comp AI signifie que les contrôles de conformité sont basés sur les mêmes signaux auxquels les équipes de sécurité font déjà confiance, sans introduire de nouveaux workflows.
Ce que Comp AI reçoit d'Aikido
Une fois l'intégration activée, Comp AI extrait les données de vulnérabilité et de scanning directement d'Aikido et évalue les tâches de conformité par rapport à celles-ci.
Cela inclut :
- Preuves de code sécurisé
- Problèmes de sécurité ouverts, regroupés par niveau de gravité
- Activité de scanning des dépôts
- Identification des scans obsolètes, tels que les dépôts non scannés depuis plus de sept jours
Pour la surveillance et les alertes, Comp AI évalue également :
- Seuils configurables de nombre de problèmes
- Récapitulatifs de répartition par gravité
Ces signaux sont utilisés pour satisfaire les tâches de conformité liées à la gestion des vulnérabilités et aux pratiques de code sécurisé, en se basant sur les dernières données disponibles plutôt que sur des artefacts ponctuels.
Fonctionnement
.png)
Après avoir connecté Aikido à Comp AI, les équipes peuvent configurer la rigueur des contrôles de conformité.
Elles peuvent définir la gravité minimale qui entraîne l'échec d'un contrôle, fixer des limites sur le nombre de problèmes ouverts acceptables, choisir les dépôts à inclure et décider si les problèmes mis en veille sont pris en compte pour la conformité. Cela permet aux contrôles de refléter les politiques de risque internes au lieu de s'appuyer sur des valeurs par défaut fixes.
Lorsqu'un contrôle s'exécute, Comp AI l'évalue par rapport aux données les plus récentes d'Aikido. Si des vulnérabilités dépassant le seuil configuré sont présentes, le contrôle reflète cet état. Lorsque ces vulnérabilités sont corrigées et que la prochaine analyse est terminée, le résultat est mis à jour en conséquence.
Il n'y a pas d'étape distincte pour actualiser les preuves et pas besoin de re-télécharger quoi que ce soit lorsque les conditions changent.
Ce que cela signifie pour les équipes
Pour les équipes d'ingénierie, le travail quotidien ne change pas. Les vulnérabilités sont toujours gérées dans Aikido.
Pour les équipes de conformité, l'avantage est la cohérence. Les preuves dans Comp AI reflètent l'état actuel de l'activité de scan et de correction plutôt qu'un instantané pris à un moment précis.
Pour les auditeurs, cela offre un contexte plus clair. Ils peuvent voir comment les vulnérabilités sont identifiées, suivies et résolues au fil du temps, au lieu d'examiner des artefacts isolés.
Nous ne pensons pas que la conformité doive éloigner les équipes de la manière dont la sécurité fonctionne déjà. Avec l'intégration Comp AI, la conformité reste proche de la source : des données de vulnérabilité réelles, actualisées à une cadence prévisible et évaluées là où les équipes gèrent déjà leurs programmes.
Un mot de Henrick
Henrick Johansson, investisseur en résidence spécialisé dans la conformité chez Comp AI, l'a bien résumé :
« Les auditeurs n'aiment pas les surprises, et les fondateurs non plus. Aikido trouve les vulnérabilités, Comp AI enregistre la correction. L'audit devient un examen, pas une enquête. »
Nous sommes plutôt d'accord. L'intégration Aikido × Comp AI est incluse dans tous les plans payants Aikido et est disponible dès aujourd'hui.
Commencer → https://trycomp.ai/docs/integrations/aikido
