Pravděpodobně jste už slyšeli ty hororové příběhy. Startup je na pokraji uzavření obrovské korporátní zakázky – takové, která změní směr celé společnosti. Pak přijde „Bezpečnostní dotazník“. Najednou se prodejní dynamika zastaví, protože potenciální klient vyžaduje zprávu SOC2 Type II.
Pokud ještě nejste v souladu s požadavky, začne panika. Uvědomíte si, že získání certifikace SOC2 není jen o zaškrtnutí několika políček; je to náročný proces dokumentování každé jednotlivé věci, kterou děláte, prokazování, že ji skutečně děláte, a ukazování, že vaše systémy jsou bezpečné. Jednou z největších překážek v celém tomto martyriu je požadavek na Penetration Testing.
Tradičně to znamená najmout si butikovou bezpečnostní firmu, zaplatit tučný poplatek, čekat tři týdny na manuální test a poté obdržet PDF zprávu plnou zranitelností, které vaši vývojáři musí narychlo opravit, než je uvidí auditor. Je to pomalé, drahé a upřímně řečeno, zastaralé. Než manuální tester dokončí svou zprávu, pravděpodobně jste už nasadili deset nových verzí