Jeden punkt wejścia do dokumentacji Evidence & Resilience Orchestratora. Wybierz ścieżkę według roli: senior/pentester, junior, CISO/zarząd, compliance, dev. Każda karta prowadzi do istniejących stron portalu. Reguła nadrzędna: status ≤ dowód (§16). Ta strona nie zastępuje kanonu — kieruje do niego.
Dokumentacja nie jest jedną liniową instrukcją — różne role szukają różnych rzeczy. Senior chce spróbować obejść
regułę claim ≤ proof. Junior chce zrozumieć, czym różni się dowód od sygnału i luki. Zarząd chce ryzyko
rezydualne i ekspozycję regulacyjną. Compliance chce mapowanie na obowiązki i zegary terminów. Dev chce API, curl i
znane ograniczenia. Poniżej — pięć wejść.
Cel: przejść pełny cykl import → evidence-package → retest → close i świadomie spróbować obejść
regułę claim ≤ proof (zamknięcie incydentu bez dowodu CONFIRMED, PATCH-bypass, podmiana pakietu bez zmiany hash).
Zawiera: real parsery importu, reverse (od twierdzenia do dowodu), playbook odwrotny (obalanie finding), demo bankowe end-to-end, samodzielna weryfikacja pakietu.
Postawa: nie wierz statusowi — żądaj artefaktu. Jeśli status nie ma linku/hash/testu, zgłoś jako GAP.
Cel: guided walkthrough w wariantach 5 / 15 / 30 min — od „co widzę na dashboardzie" po „jak zapisać finding, żeby nie było overclaimu".
Nauczysz się: czym różni się DOWÓD (weryfikowalny link/hash/test) od SYGNAŁU (import = MEDIA_SIGNAL, nie dowód naprawy) i od GAP (luka bez pokrycia). Jak pisać finding bez zakazanych fraz.
Uwaga: guided labs i interaktywne ćwiczenia są ROADMAP — dziś ścieżka to lektura kierowana po istniejących stronach + anonimizacja danych do ćwiczeń.
Cel: obraz zarządczy w kilka minut — board pack, ryzyko rezydualne, ekspozycja regulacyjna, wynik pokrycia (coverage score).
Zawiera: pakiet dla zarządu/regulatora (ryzyko rezydualne, skuteczność kontroli, trend), zegar terminów regulacyjnych, demo w kontekście instytucji finansowej.
Czytaj świadomie: „pokrycie" oznacza pokrycie dowodowe, nie nieprzenikalność. Wysoki coverage score nie jest deklaracją bezpieczeństwa — jest miarą tego, ile twierdzeń ma dowód.
Cel: mapowanie incydentu na obowiązki DORA / NIS2 / RODO / AI Act z zegarami terminów i draftem powiadomienia.
Zawiera: legal triggers (zdarzenie → obowiązek: DORA art.19 / NIS2 24h-72h / RODO art.33-34 / AI Act art.73), zegar deadline liczony od created_at, gotowe pakiety regulacyjne do organu.
Doktryna: DECISION-SUPPORT — to nie porada prawna, terminy są orientacyjne i wymagają potwierdzenia przez dział prawny.
Cel: integracja techniczna — API /api/ip3/*, przykłady curl, kontrakt endpointów, matryca statusu, znane ograniczenia.
Zawiera: dokumentacja endpointów (read demo + v1 zapis z auth/RBAC), eksplorator API do odpytania read-path, kanon statusu i jawny rejestr ograniczeń (co jeszcze nie działa).
Zacznij od: known-limitations — zanim zbudujesz integrację, przeczytaj czego dziś nie ma.
Cała dokumentacja stoi na jednym rozróżnieniu. Zanim zaczniesz w dowolnej roli — przeczytaj tę tabelę.
| Pojęcie | Znaczenie | Przykład w orchestratorze |
|---|---|---|
| DOWÓD | Weryfikowalny artefakt: link, hash, test, endpoint. Uprawnia do statusu LIVE. | Evidence-package z package_sha256; retest → CONFIRMED → close z inną sumą kontrolną pakietu. |
| SYGNAŁ | Przesłanka, nie dowód. Wskazuje, ale nie potwierdza naprawy. | Import findings z Burp/ZAP/Nessus = MEDIA_SIGNAL — mówi „coś znaleziono", nie „naprawiono". |
| GAP | Luka/hipoteza bez pokrycia dowodowego. Nie wolno przedstawiać jako fakt. | Twierdzenie o działaniu bez linku/testu → oznaczane GAP, nie LIVE. Zgłaszalne jako incydent. |
Pełna reguła 5 statusów (LIVE / DEMO / SIMULATION / ROADMAP / GAP) i warunki nadania: status-matrix (kanon statusu) oraz roadmap-dev §16.