Compliance
Zwei parallele Abdeckungsansichten über dieselben Schulungsdaten. Die OWASP-Ansicht bewertet Ihre Belegschaft anhand der vier OWASP-Top-10-Familien. Die regulatorische Ansicht bewertet dieselben Schulungen anhand externer Standards (PCI DSS, ISO/IEC 27001, SOC 2), indem jede Kontrolle ihren zugrunde liegenden CWEs zugeordnet wird.
Wo sich das befindet
Seitenleiste → Compliance unter dem Abschnitt Übersicht, unter /organization/compliance. Die Seite hat oben zwei Tabs: OWASP und Regulatorisch. Beide Tabs teilen sich dieselbe zugrunde liegende Berechnungsengine; sie unterscheiden sich nur darin, welches Framework-Set angezeigt wird.
Wie die Abdeckung berechnet wird
Ein berechtigter Benutzer ist jedes aktive Organisationsmitglied, dessen Rolle nicht org_admin ist. Ein Benutzer zählt als geschult für ein Thema, wenn er mindestens einen Übungsversuch mit Punktzahl ≥ Bestehensgrenze (70) innerhalb des letzten Fenster (365 Tage) hat. Ein Risikoelement — ein OWASP-Modul oder eine regulatorische Kontrolle — wechselt in den Status covered, sobald der Prozentsatz der für ihn geschulten berechtigten Benutzer den Abdeckungsschwelle Ihrer Organisation überschreitet, standardmäßig 80% und konfigurierbar zwischen 50 und 100 in Organisationseinstellungen.
Risikoelemente, für die noch keine Inhalte ausgeliefert wurden (zugeordnet zu einer CWE, für die wir noch kein Schulungsthema haben), melden den Status no-content, sodass sie als bekannte Lücke sichtbar sind, anstatt gegen Ihre Belegschaft zu zählen.
OWASP-Tab
Ein Panel pro Familie — Web, API, Mobile, Client-Side. Jedes Panel zeigt oben den Gesamtabdeckungsprozentsatz und die Durchschnittspunkte des Frameworks und darunter eine Aufschlüsselung pro Modul mit Status (covered / partial / no-activity / no-content), Anzahl geschulter Benutzer und Durchschnittspunkten. Klicken Sie auf ein Modul, um in seine konstituierenden Themen und die CWEs, die jedes Thema adressiert, einzutauchen.
Regulatorisch-Tab
Heute werden drei Frameworks ausgeliefert: PCI DSS v4.0 Anforderung 6 (sichere Systeme und Software), ISO/IEC 27001:2022 Annex A Secure-Development-Kontrollen und SOC 2 Trust Services Criteria (TSC 2017). Jedes Framework wird zu den zugrunde liegenden Kontrollen erweitert; jede Kontrolle listet das CWE-Set auf, das verwendet wird, um Schulungsthemen zuzuordnen, und rollt zu einem Pro-Framework-Abdeckungsprozentsatz auf, den Sie direkt in ein Nachweispaket kopieren können.
Nachweis-PDF
Klicken Sie auf Nachweis-PDF herunterladen in einem der beiden Tabs, um ein framework-spezifisches PDF zu generieren. Der Regulatorisch-Tab erlaubt es Ihnen auch, ein bestimmtes Framework auszuwählen und ein PDF zu erstellen, das nur die Kontrollen dieses Frameworks enthält — nützlich, wenn die Anfrage des Auditors eng ist ("PCI 6.2.4 Nachweis bitte") und Sie den breiteren Abdeckungsbericht nicht übergeben möchten.
Programmatischer Zugriff
Dieselben Zahlen, maschinenlesbar: siehe API → Compliance. Häufige Automatisierungen umfassen das Synchronisieren von Pro-Framework-Abdeckung in ein GRC-Dashboard, das Alarmieren, wenn die Abdeckung einer Kontrolle unter den Schwellenwert fällt, und das Einspeisen der Aufschlüsselung pro Modul in ein Sprint-Planungstool, um automatisch Remediation-Schulungszuweisungen zu erstellen.