La evidencia de cumplimiento solo funciona si refleja el estado actual del sistema.
En Aikido, siempre hemos tratado el cumplimiento como un subproducto de una buena seguridad, no como un ejercicio separado para el que los equipos deban prepararse. Por eso Aikido se integra con múltiples plataformas de cumplimiento. El objetivo es simple: permitir que los equipos utilicen los datos de seguridad generados en Aikido dondequiera que ejecuten sus programas de cumplimiento, sin cambiar su forma de trabajar ni mantener procesos paralelos.
.png)
Comp AI es una extensión natural de ese enfoque.
Los datos de seguridad en Aikido se generan con una cadencia regular. Los repositorios se escanean, las vulnerabilidades se rastrean por gravedad y la remediación se realiza como parte del trabajo de ingeniería normal. Esta integración hace que esos mismos datos sean utilizables dentro de una plataforma de cumplimiento diseñada para evaluar las comprobaciones repetidamente, no solo en el momento de la auditoría.
¿Por qué Comp AI?
Comp AI es donde los equipos definen y ejecutan programas de cumplimiento a través de marcos como SOC 2, ISO 27001, HIPAA y GDPR. Los controles, tareas y comprobaciones están estructurados con la expectativa de que puedan evaluarse repetidamente, en lugar de ser revisados una vez y archivados.
Lo que hace que Comp AI sea una solución sólida es cómo trata la evidencia. La evidencia no es algo que los equipos suban y gestionen manualmente. Es el resultado de comprobaciones que se ejecutan contra sistemas conectados y registran lo que encuentran. En otras palabras, la evidencia se comprueba, no se ensambla.
Desde la perspectiva de Aikido, ese modelo se alinea estrechamente con el funcionamiento del producto. Aikido ya mantiene una vista actualizada de la actividad de vulnerabilidades y escaneo en código, infraestructura cloud y dependencias. Sabe qué repositorios se están escaneando, qué problemas están abiertos, su gravedad y si se ha llevado a cabo la remediación. Alimentar esos datos directamente a Comp AI significa que las comprobaciones de cumplimiento se basan en las mismas señales en las que los equipos de seguridad ya confían, sin introducir nuevos flujos de trabajo.
Lo que Comp AI recibe de Aikido
Una vez habilitada la integración, Comp AI extrae datos de vulnerabilidades y escaneo directamente de Aikido y evalúa las tareas de cumplimiento en función de ellos.
Esto incluye:
- Evidencia de código seguro
- Problemas de seguridad abiertos, agrupados por gravedad
- Actividad de escaneo de repositorios
- Identificación de escaneos obsoletos, como repositorios no escaneados en más de siete días
Para la monitorización y las alertas, Comp AI también evalúa:
- Umbrales configurables de recuento de incidencias
- Resúmenes de desglose por severidad
Estas señales se utilizan para cumplir con las tareas de compliance relacionadas con la gestión de vulnerabilidades y las prácticas de código seguro, basándose en los datos más recientes disponibles en lugar de artefactos puntuales.
Cómo funciona
.png)
Después de conectar Aikido a Comp AI, los equipos pueden configurar la rigurosidad de las comprobaciones de compliance.
Pueden definir la severidad mínima que provoca el fallo de una comprobación, establecer límites sobre el número de incidencias abiertas aceptables, elegir qué repositorios deben incluirse y decidir si las incidencias pospuestas cuentan para el compliance. Esto permite que las comprobaciones reflejen las políticas internas de riesgo en lugar de depender de valores predeterminados fijos.
Cuando se ejecuta una comprobación, Comp AI la evalúa con los datos más recientes de Aikido. Si hay vulnerabilidades por encima del umbral configurado, la comprobación refleja ese estado. Cuando esas vulnerabilidades se corrigen y se completa el siguiente escaneo, el resultado se actualiza en consecuencia.
No hay un paso separado para actualizar la evidencia ni necesidad de volver a subir nada cuando las condiciones cambian.
Qué significa esto para los equipos
Para los equipos de ingeniería, el trabajo diario no cambia. Las vulnerabilidades se siguen gestionando en Aikido.
Para los equipos de compliance, el beneficio es la consistencia. La evidencia en Comp AI refleja el estado actual de la actividad de escaneo y remediación, en lugar de una instantánea tomada en un momento específico.
Para los auditores, esto proporciona un contexto más claro. Pueden ver cómo se identifican, rastrean y resuelven las vulnerabilidades a lo largo del tiempo, en lugar de revisar artefactos aislados.
No creemos que el compliance deba alejar a los equipos de cómo funciona ya la seguridad. Con la integración de Comp AI, el compliance se mantiene cerca de la fuente: datos reales de vulnerabilidades, actualizados con una cadencia predecible y evaluados donde los equipos ya gestionan sus programas.
Una nota de Henrick
Henrick Johansson, inversor residente en compliance de Comp AI, lo resumió bien:
“A los auditores no les gustan las sorpresas, y a los fundadores tampoco. Aikido encuentra las vulnerabilidades, Comp AI registra la remediación. La auditoría se convierte en una revisión, no en una investigación.”
Tendemos a estar de acuerdo. La integración de Aikido × Comp AI está incluida en todos los planes de pago de Aikido y está disponible hoy mismo.
Empezar → https://trycomp.ai/docs/integrations/aikido
