Las pruebas de cumplimiento solo son válidas si reflejan el estado actual del sistema.
En Aikido, siempre hemos considerado el cumplimiento normativo como un subproducto de una buena seguridad, no como una tarea independiente para la que los equipos deben prepararse. Por eso Aikido se integra con múltiples plataformas de cumplimiento normativo. El objetivo es sencillo: permitir que los equipos utilicen los datos de seguridad generados en Aikido independientemente de dónde ejecuten sus programas de cumplimiento normativo, sin cambiar su forma de trabajar ni mantener procesos paralelos.
.png)
La IA comp es una extensión natural de ese enfoque.
Los datos de seguridad en Aikido se generan con una cadencia regular. Se analizan los repositorios, se realiza un seguimiento de las vulnerabilidades según su gravedad y se aplican medidas correctivas como parte del trabajo habitual de ingeniería. Esta integración permite utilizar esos mismos datos dentro de una plataforma de cumplimiento diseñada para evaluar las comprobaciones de forma repetida, no solo en el momento de la auditoría.
¿Por qué Comp AI?
Comp AI es donde los equipos definen y ejecutan programas de cumplimiento normativo en marcos como SOC 2, ISO 27001, HIPAA y GDPR. Los controles, las tareas y las comprobaciones se estructuran con la expectativa de que puedan evaluarse repetidamente, en lugar de revisarse una sola vez y archivarse.
Lo que hace que Comp AI sea una herramienta tan adecuada es cómo trata las pruebas. Las pruebas no son algo que los equipos suben y gestionan manualmente. Son el resultado de comprobaciones que se realizan en sistemas conectados y registran lo que encuentran. En otras palabras, las pruebas se comprueban, no se recopilan.
Desde el punto de vista de Aikido, ese modelo se ajusta perfectamente al funcionamiento del producto. Aikido ya mantiene una visión actualizada de la vulnerabilidad y la actividad de análisis en todo el código, la infraestructura en la nube y las dependencias. Sabe qué repositorios se están analizando, qué incidencias están abiertas, su gravedad y si se han corregido. Al introducir esos datos directamente en Comp AI, las comprobaciones de cumplimiento se basan en las mismas señales en las que ya confían los equipos de seguridad, sin necesidad de introducir nuevos flujos de trabajo.
Lo que Comp AI recibe del Aikido
Una vez habilitada la integración, Comp AI extrae los datos de vulnerabilidad y análisis directamente de Aikido y evalúa las tareas de cumplimiento en función de ellos.
Esto incluye:
- Pruebas de código seguro
- Problemas de seguridad abiertos, agrupados por gravedad
- Actividad de escaneo del repositorio
- Identificación de análisis obsoletos, como repositorios que no se han analizado en más de siete días.
Para la supervisión y las alertas, Comp AI también evalúa:
- Umbrales de recuento de incidencias configurables
- Resúmenes del desglose por gravedad
Estas señales se utilizan para cumplir con las tareas de cumplimiento relacionadas con gestión de vulnerabilidades las prácticas de código seguro, basándose en los últimos datos disponibles en lugar de en artefactos puntuales.
Cómo funciona
.png)
Después de conectar Aikido a Comp AI, los equipos pueden configurar el nivel de rigor de las comprobaciones de cumplimiento.
Pueden definir la gravedad mínima que provoca que una comprobación falle, establecer límites sobre el número de incidencias abiertas aceptables, elegir qué repositorios deben incluirse y decidir si las incidencias pospuestas cuentan para el cumplimiento. Esto permite que las comprobaciones reflejen las políticas de riesgo internas en lugar de basarse en valores predeterminados fijos.
Cuando se ejecuta una comprobación, Comp AI la evalúa comparándola con los datos más recientes de Aikido. Si existen vulnerabilidades por encima del umbral configurado, la comprobación refleja ese estado. Cuando se corrigen esas vulnerabilidades y se completa el siguiente análisis, el resultado se actualiza en consecuencia.
No hay ningún paso específico para actualizar las pruebas y no es necesario volver a subir nada cuando cambian las condiciones.
Qué significa esto para los equipos
Para los equipos de ingeniería, el trabajo diario no cambia. Las vulnerabilidades siguen gestionándose en Aikido.
Para los equipos de cumplimiento normativo, la ventaja es la coherencia. Las pruebas que se recogen en Comp AI reflejan el estado actual de las actividades de análisis y corrección, en lugar de una instantánea tomada en un momento concreto.
Para los auditores, esto proporciona un contexto más claro. Pueden ver cómo se identifican, rastrean y resuelven las vulnerabilidades a lo largo del tiempo, en lugar de revisar artefactos aislados.
No creemos que el cumplimiento normativo deba alejar a los equipos de cómo funciona ya la seguridad. Con la integración de Comp AI, el cumplimiento normativo se mantiene cerca de la fuente: datos reales sobre vulnerabilidades, actualizados con una cadencia predecible y evaluados donde los equipos ya gestionan sus programas.
Una nota de Henrick
Henrick Johansson, inversor residente en materia de cumplimiento normativo de Comp AI, lo resumió muy bien:
«A los auditores no les gustan las sorpresas, y a los fundadores tampoco debería gustarles. Aikido encuentra las vulnerabilidades y Comp AI registra las soluciones. La auditoría se convierte en una revisión, no en una investigación».
Estamos de acuerdo. La integración de Aikido × Comp AI está incluida en todos los planes de pago de Aikido y ya está disponible.
Empezar → https://trycomp.ai/docs/integrations/aikido
Protege tu software ahora.
