Les preuves de conformité ne sont valables que si elles reflètent l'état actuel du système.
Chez Aikido, nous avons toujours considéré la conformité comme un sous-produit d'une bonne sécurité, et non comme un exercice distinct auquel les équipes doivent se préparer. C'est pourquoi Aikido à plusieurs plateformes de conformité. L'objectif est simple : permettre aux équipes d'utiliser les données de sécurité générées dans Aikido elles exécutent leurs programmes de conformité, sans modifier leur façon de travailler ni maintenir des processus parallèles.
.png)
L'IA comp est une extension naturelle de cette approche.
Les données de sécurité dans Aikido générées à intervalles réguliers. Les référentiels sont analysés, les vulnérabilités sont suivies en fonction de leur gravité et les corrections sont apportées dans le cadre du travail d'ingénierie normal. Cette intégration permet d'utiliser ces mêmes données dans une plateforme de conformité conçue pour évaluer les contrôles de manière répétée, et pas seulement au moment de l'audit.
Pourquoi Comp AI ?
Comp AI est l'endroit où les équipes définissent et exécutent des programmes de conformité dans des cadres tels que SOC 2, ISO 27001, HIPAA et GDPR. Les contrôles, les tâches et les vérifications sont structurés de manière à pouvoir être évalués à plusieurs reprises, plutôt que d'être examinés une seule fois puis archivés.
Ce qui fait de Comp AI un outil particulièrement adapté, c'est la manière dont il traite les preuves. Les preuves ne sont pas des éléments que les équipes téléchargent et gèrent manuellement. Elles sont le résultat de vérifications effectuées sur des systèmes connectés qui enregistrent leurs conclusions. En d'autres termes, les preuves sont vérifiées, et non assemblées.
Du côté Aikido, ce modèle correspond étroitement au fonctionnement du produit. Aikido dispose Aikido d'une vue actualisée des vulnérabilités et des activités d'analyse du code, cloud et des dépendances. Il sait quels référentiels sont analysés, quels problèmes sont ouverts, leur gravité et si des mesures correctives ont été prises. L'intégration directe de ces données dans Comp AI signifie que les contrôles de conformité s'appuient sur les mêmes signaux que ceux auxquels les équipes de sécurité font déjà confiance, sans introduire de nouveaux workflows.
Ce que Comp AI reçoit de Aikido
Une fois l'intégration activée, Comp AI extrait directement les données relatives aux vulnérabilités et aux analyses Aikido évalue les tâches de conformité par rapport à celles-ci.
Cela comprend :
- Preuve de code sécurisé
- Problèmes de sécurité ouverts, regroupés par gravité
- Activité d'analyse du référentiel
- Identification des analyses obsolètes, telles que les référentiels qui n'ont pas été analysés depuis plus de sept jours
Pour la surveillance et l'alerte, Comp AI évalue également :
- Seuils de nombre d'incidents configurables
- Résumés de la répartition par gravité
Ces signaux sont utilisés pour satisfaire aux exigences de conformité liées à gestion des vulnérabilités aux pratiques de sécurité des codes, sur la base des dernières données disponibles plutôt que d'artefacts ponctuels.
Fonctionnement
.png)
Après avoir connecté Aikido Comp AI, les équipes peuvent configurer le niveau de rigueur des contrôles de conformité.
Ils peuvent définir le niveau de gravité minimum qui entraîne l'échec d'une vérification, fixer des limites quant au nombre de problèmes ouverts acceptables, choisir les référentiels à inclure et décider si les problèmes mis en veille comptent dans la conformité. Cela permet aux vérifications de refléter les politiques internes en matière de risques plutôt que de s'appuyer sur des valeurs par défaut fixes.
Lorsqu'une vérification est effectuée, Comp AI l'évalue par rapport aux données les plus récentes provenant Aikido. Si des vulnérabilités supérieures au seuil configuré sont présentes, la vérification reflète cet état. Lorsque ces vulnérabilités sont corrigées et que la prochaine analyse est terminée, le résultat est mis à jour en conséquence.
Il n'y a pas d'étape distincte pour actualiser les preuves et il n'est pas nécessaire de télécharger à nouveau quoi que ce soit lorsque les conditions changent.
Ce que cela signifie pour les équipes
Pour les équipes d'ingénieurs, le travail quotidien ne change pas. Les vulnérabilités sont toujours gérées dans Aikido.
Pour les équipes chargées de la conformité, l'avantage réside dans la cohérence. Les preuves fournies par Comp AI reflètent l'état actuel des activités d'analyse et de correction plutôt qu'un instantané pris à un moment précis.
Pour les auditeurs, cela fournit un contexte plus clair. Ils peuvent voir comment les vulnérabilités sont identifiées, suivies et résolues au fil du temps, au lieu d'examiner des artefacts isolés.
Nous pensons que la conformité ne doit pas détourner les équipes de leur approche actuelle en matière de sécurité. Grâce à l'intégration de Comp AI, la conformité reste proche de la source : des données réelles sur les vulnérabilités, actualisées à un rythme prévisible et évaluées là où les équipes gèrent déjà leurs programmes.
Une note de Henrick
Henrick Johansson, investisseur en résidence chargé de la conformité chez Comp AI, a bien résumé la situation :
« Les auditeurs n'aiment pas les surprises, et les fondateurs ne devraient pas non plus. Aikido les vulnérabilités, Comp AI enregistre les mesures correctives. L'audit devient une révision, et non une enquête. »
Nous sommes plutôt d'accord. L'intégration Aikido Comp AI est incluse dans tous Aikido payants et est disponible dès aujourd'hui.
Commencer → https://trycomp.ai/docs/integrations/aikido
Sécurisez votre logiciel dès maintenant.
