K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / metodyka / coverage-score

Evidence Coverage Score — KPI pokrycia dowodowego

Jedna liczba dla zarządu: jaki procent findingów jest w pełni udowodniony — ma dowód CONFIRMED, retest, właściciela, SLA, mapowanie regulacyjne i chain-of-custody. To miara kompletności dokumentacji dowodowej, nie ocena odporności infrastruktury. Wysoki wynik = „wiemy i mamy udokumentowane", nie „jesteśmy bezpieczni".

Czym ten wskaźnik NIE jest. Evidence Coverage Score to KPI pokrycia dowodowego — mierzy, ile findingów ma komplet artefaktów. Nie jest oceną bezpieczeństwa, ratingiem odporności ani gwarancją zgodności. Nie mówi „jesteś w 72% bezpieczny" — mówi „72% Twoich findingów jest w pełni udokumentowanych". Finding może mieć 100% pokrycia dowodowego i nadal opisywać krytyczną, otwartą podatność. Doktryna portalu: claim ≤ proof — 100% oznacza pełne pokrycie DOWODOWE, nie nieprzenikalność.
Coverage % = średnia z 6 wymiarów dowodowych, po wszystkich findingach.

Każdy finding oceniamy w 6 binarnych wymiarach (spełniony = 1, brak = 0). Wynik findingu to średnia jego 6 wymiarów. Wynik zbioru to średnia po findingach. Prosty, audytowalny, liczony z realnych rekordów bazy — bez wag uznaniowych.

WZÓR: finding = Σ(6 wymiarów)/6zbiór = Σ(findingi)/NCoverage %

6 wymiarów pokrycia (definicje)

Każdy wymiar jest binarny i weryfikowalny z rekordu w bazie — brak ocen „na oko".

1 · Dowód CONFIRMED

Finding ma powiązany dowód o statusie CONFIRMED (nie tylko MEDIA_SIGNAL / zgłoszenie). Import z pentestu to sygnał, nie dowód naprawy.

Źródło: tabela evidence, status = CONFIRMED.

2 · Retest

Wykonano retest weryfikujący (potwierdzenie istnienia lub naprawy), z odrębnym rekordem i znacznikiem czasu.

Źródło: rekord retestu powiązany z incydentem.

3 · Owner

Finding ma przypisanego właściciela odpowiedzialnego za remediację (osoba/zespół), nie pole puste.

Źródło: pole owner / assignee incydentu.

4 · SLA

Findingowi przypisano termin (deadline/priorytet SLA) — jest zegar, wobec którego mierzymy opóźnienie.

Źródło: pole terminu / priorytet P0–P3.

5 · Mapowanie regulacyjne

Finding zmapowany na obowiązek (DORA / NIS2 / RODO / AI Act) przez Legal Trigger Engine — wiadomo, co z niego wynika prawnie.

Źródło: Legal Engine — legal-triggers.

6 · Chain-of-custody

Artefakt dowodowy ma nieprzerwany łańcuch pochodzenia: hash sha256 + ślad audytowy kto/co/kiedy.

Źródło: manifest evidence-package, package_sha256.

Przykład liczenia (dane syntetyczne)

Ilustracja metodyki na 5 findingach demonstracyjnych. SIMULATION — wartości poglądowe, nie stan realnej infrastruktury.

Finding (syntetyczny) CONFIRMEDRetestOwnerSLAMapow.Chain Wynik findingu
F-01 · SQLi w module raportów1111116/6 = 100%
F-02 · Podatny komponent (CVE-KEV)1011115/6 = 83%
F-03 · Błędna konfiguracja TLS1011014/6 = 67%
F-04 · Ekspozycja danych osobowych0011114/6 = 67%
F-05 · Brak logowania zdarzeń0010012/6 = 33%
Suma wymiaru (z 5)3/51/55/54/53/55/5Coverage = 70%
Coverage % = (100 + 83 + 67 + 67 + 33) / 5  =  350 / 5  =  70%

Odczyt po wymiarach (gdzie jest luka):
  CONFIRMED ....... 3/5 (60%)   ← 2 findingi bez dowodu potwierdzonego
  Retest .......... 1/5 (20%)   ← NAJSŁABSZY wymiar: brak retestów
  Owner ........... 5/5 (100%)  ← każdy finding ma właściciela
  SLA ............. 4/5 (80%)
  Mapowanie ....... 3/5 (60%)
  Chain-of-custody  5/5 (100%)  ← integralność artefaktów pełna

Interpretacja wyniku (progi orientacyjne)

Progi pomagają czytać liczbę, ale zawsze patrz na rozkład po wymiarach — 70% z załamanym retestem znaczy co innego niż 70% równomierne.

ZakresOdczytTypowa akcja zarządu
85–100%Bardzo dobre pokrycie dowodowe. Findingi są udokumentowane end-to-end.Utrzymanie procesu; przegląd wyjątków.
70–84%Dobre pokrycie z widoczną luką w 1–2 wymiarach (np. retesty).Domknąć najsłabszy wymiar; przypisać właścicieli luk.
50–69%Częściowe pokrycie. Istotna część findingów bez dowodu/retestu.Plan naprawczy dokumentacji; priorytet CONFIRMED + retest.
< 50%Niskie pokrycie — proces dowodowy niedojrzały lub świeży zaciąg findingów.Uruchomić dyscyplinę close-with-evidence; zbudować chain-of-custody.
Przykład czytania. Wynik 70% z tabeli wyżej to „dobre pokrycie, ale gap w retestach (20%)". Zarząd nie potrzebuje detali technicznych — widzi jedną liczbę i jeden priorytet: domknąć retesty. To jest cała wartość KPI: kierunek działania w jednym spojrzeniu.

Policz sam (kalkulator poglądowy)

Narzędzie ilustracyjne — liczy tę samą średnią co wzór wyżej, lokalnie w przeglądarce. Zaznacz spełnione wymiary dla każdego findingu. SIMULATION — nie zapisuje nic, nie łączy się z bazą.

Zaznacz wymiary powyżej.
Wzór: dla każdego findingu (Σ zaznaczonych / 6), następnie średnia po findingach. Identyczny z metodyką sekcji „Przykład liczenia".

Status implementacji — co LIVE, co ROADMAP

LIVE MVP
Score per finding / incydent
liczony z realnych danych DB
ROADMAP
Dashboard trendu w czasie
wykres, historia, alerty progów
Endpoint MVP GET /api/ip3/v1/incidents/:id/coverage LIVE MVP — zwraca 6 wymiarów + wynik findingu, liczone z realnych rekordów PostgreSQL (evidence / retest / owner / SLA / legal-triggers / chain-of-custody). Kanon dowodowy dla liczb testów i statusów: Evidence Matrix (/roadmap-dev). Weryfikuj bieżący stan i liczby PASS w tej matrycy — ta strona nie podaje własnych „NN/NN".
Agregacja zbioru + trend ROADMAP — Coverage % dla całego portfela z historią w czasie, wykresem trendu, progami alertów i eksportem do board-packu. Kryteria akceptacji i sprint docelowy: patrz Roadmap dev.

Kanon statusów wszystkich elementów portalu: Status Matrix. Definicje dowodów i artefaktów: Evidence Layer.

Ograniczenia metodyki (jawnie)

Zakres i granica. Evidence Coverage Score to narzędzie GRC / raportowania (blue). Liczba pochodzi z rekordów dowodowych, nie z aktywnego testu infrastruktury. Wskaźnik nie jest certyfikacją, ratingiem bezpieczeństwa ani poświadczeniem pełnej zgodności regulacyjnej. Interpretacja prawna terminów pozostaje decision-support (Legal Engine), nie poradą prawną.