컴플라이언스
동일한 교육 데이터에 대한 두 가지 병렬 커버리지 보기입니다. OWASP 보기는 4개의 OWASP Top 10 패밀리에 대해 인력을 점수화합니다. 규제 보기는 각 통제를 기본 CWE에 매핑하여 외부 표준(PCI DSS, ISO/IEC 27001, SOC 2)에 대해 동일한 교육을 점수화합니다.
위치
사이드바 → 개요 섹션 아래의 컴플라이언스, /organization/compliance입니다. 페이지 상단에는 두 개의 탭이 있습니다: OWASP 및 규제. 두 탭 모두 동일한 기본 계산 엔진을 공유합니다. 표시되는 프레임워크 세트만 다릅니다.
커버리지 계산 방법
적격 사용자는 역할이 org_admin이 아닌 모든 활성 조직 구성원입니다. 사용자는 지난 기간(365일) 내에 점수 ≥ 통과 점수(70)의 연습 시도가 적어도 하나 있으면 주제에 대해 교육받음으로 계산됩니다. 리스크 항목 — OWASP 모듈 또는 규제 통제 — 은 그것에 대해 교육받은 적격 사용자의 비율이 조직의 커버리지 임계값을 초과하면 상태 covered로 전환됩니다. 기본값은 80%이며 조직 설정에서 50과 100 사이로 구성 가능합니다.
출하 콘텐츠가 아직 없는 리스크 항목(아직 교육 주제가 없는 CWE에 매핑됨)은 상태 no-content를 보고하므로 인력에 대해 점수가 매겨지는 대신 알려진 갭으로 보입니다.
OWASP 탭
패밀리당 하나의 패널 — Web, API, Mobile, Client-Side입니다. 각 패널은 상단에 프레임워크의 전체 커버리지 백분율과 평균 점수를 표시하고, 그 아래에 상태(covered / partial / no-activity / no-content), 교육받은 사용자 수 및 평균 점수가 있는 모듈별 분석을 표시합니다. 모듈을 클릭하여 구성 주제와 각 주제가 다루는 CWE로 드릴다운합니다.
규제 탭
오늘 세 가지 프레임워크가 출하됩니다: PCI DSS v4.0 요구사항 6 (안전한 시스템 및 소프트웨어), ISO/IEC 27001:2022 Annex A 안전 개발 통제, 그리고 SOC 2 Trust Services Criteria (TSC 2017)입니다. 각 프레임워크는 기본 통제로 확장됩니다. 각 통제는 교육 주제를 매핑하는 데 사용되는 CWE 세트를 나열하며, 증거 패키지에 직접 복사할 수 있는 프레임워크별 커버리지 백분율로 집계됩니다.
증거 PDF
두 탭에서 증거 PDF 다운로드을 클릭하여 프레임워크 범위의 PDF를 생성합니다. 규제 탭에서는 특정 프레임워크를 선택하고 해당 프레임워크의 통제만 포함하는 PDF를 생성할 수도 있습니다 — 감사관의 요청이 좁고("PCI 6.2.4 증거 부탁드립니다") 더 넓은 커버리지 보고서를 넘기고 싶지 않을 때 유용합니다.
프로그래밍 액세스
동일한 숫자, 기계 판독 가능: API → 컴플라이언스를 참조하세요. 일반적인 자동화에는 프레임워크별 커버리지를 GRC 대시보드에 동기화하고, 통제의 커버리지가 임계값 이하로 떨어질 때 알림을 보내며, 모듈별 분석을 스프린트 계획 도구에 제공하여 수정 교육 과제를 자동으로 생성하는 것이 포함됩니다.