K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / porownanie-vs-defectdojo

ipIII vs DefectDojo — porównanie uczciwe, nie marketing

Oba narzędzia agregują findingi bezpieczeństwa. Różnią się warstwą, na której skupiają wysiłek. DefectDojo to dojrzały, wieloletni open-source vulnerability management z bogatym ekosystemem integracji. ipIII to MVP warstwy dowodowo-regulacyjnej (chain-of-custody, legal triggers, board/regulatory pack) plus bezpieczeństwo agentów AI. Ta strona nie twierdzi, że ipIII jest „lepszy" — pokazuje, gdzie się uzupełniają i gdzie DefectDojo jest dziś bardziej dojrzały.

Zasada tej strony. Komplementarność, nie wyższość. DefectDojo jest realnym, sprawdzonym produktem w wielu organizacjach — nie oczerniamy go i nie umniejszamy jego dojrzałości. Tam, gdzie DefectDojo robi coś lepiej lub od dawna, mówimy to wprost. Doktryna claim ≤ proof: to, co u ipIII działa, oznaczamy LIVE; to, co planowane — ROADMAP.
Ta sama kategoria wejściowa (findingi), inna warstwa wyjściowa (dowód + regulacje).

DefectDojo odpowiada na pytanie „jakie mamy podatności i jak nimi zarządzać". ipIII odpowiada na pytanie „jak z findingu zrobić dowód, który przetrwa przed zarządem, audytorem lub regulatorem — i czy ten finding uruchamia obowiązek prawny (DORA/NIS2/RODO/AI Act)". Import findingów z DefectDojo do ipIII działa dziś (LIVE) — to nie jest hipotetyczna integracja.

PRZEPŁYW KOMPLEMENTARNY: skaner (Burp/ZAP/Nessus)DefectDojo (agregacja/triage)import ipIIIevidence-packagelegal triggersboard/regulatory pack

Co robi DefectDojo, co robi ipIII, gdzie się uzupełniają

WymiarDefectDojoipIIIGdzie się uzupełniają
Agregacja findingów Dziesiątki parserów skanerów (SAST/DAST/SCA), wieloletnia dojrzałość, duża społeczność. dojrzałe Parsery Burp/ZAP/Nessus/CSV + import z DefectDojo. LIVE (mniejszy zestaw). ipIII może czytać z DefectDojo jako źródła — nie trzeba duplikować parserów skanerów.
Deduplikacja / triage Wbudowane reguły deduplikacji, statusy, przypisania (assignee), workflow zespołowy. dojrzałe Podstawowy triage w kolejce incydentów; deduplikacja mniej rozbudowana niż w DefectDojo. gap Rekomendacja: triage w DefectDojo, potem import stanu „potwierdzony" do ipIII.
Chain-of-custody / evidence-package Nie jest głównym celem produktu; brak natywnego pakietu z hashem i łańcuchem dowodowym do zarządu. poza zakresem DefectDojo Evidence-package z sha256, manifestem i chain-of-custody w PostgreSQL. LIVE ipIII dokłada warstwę „dowód gotowy do pokazania na zewnątrz" nad danymi z DefectDojo.
Mapowanie regulacyjne (DORA/NIS2/RODO/AI Act) Brak wbudowanego silnika terminów prawnych; można ręcznie tagować, ale bez automatycznego wyzwalania. poza zakresem DefectDojo Legal Trigger Engine — decision-support, nie porada prawna; terminy orientacyjne, do weryfikacji prawnika. LIVE (MVP) Finding potwierdzony w DefectDojo może zasilić Legal Trigger Engine w ipIII, żeby oznaczyć potencjalny obowiązek zgłoszenia.
Board / regulatory pack Raporty metryk i eksport danych; brak gotowego szablonu „pakiet dla zarządu/regulatora" z narracją prawną. częściowo, inny cel Board pack + regulatory pack jako artefakt PDF/JSON z odwołaniem do evidence-package. LIVE (MVP) Dane surowe z DefectDojo + kontekst prawny ipIII = jeden spójny pakiet wyjściowy.
Bezpieczeństwo agentów AI Nie adresuje wprost (produkt starszy niż kategoria „AI-agent security"). poza zakresem DefectDojo Testy defensywne (prompt-injection, nadużycie narzędzi) na danych syntetycznych, po RoE — opis CO testowane i JAKI dowód sukcesu, bez payloadów. MVP Osobna, nowa kategoria ryzyka — ipIII traktuje ją jako rozszerzenie tej samej doktryny evidence-first.
Integracje CI/CD i ekosystem Duży, dojrzały katalog integracji (Jenkins, GitLab, GitHub Actions, JIRA i inne), stabilne API. dojrzałe Mniejszy zestaw dziś; webhook ingestion i STIX/TAXII oznaczone jako ROADMAP. Do czasu domknięcia własnych integracji CI/CD, DefectDojo pozostaje praktycznym hubem wejściowym.
Multi-tenant / skala organizacji Wspiera wiele produktów/zespołów w jednej instalacji od dawna. dojrzałe Jedna organizacja dziś; tenant scoping + RLS oznaczone jako ROADMAP (patrz known-limitations). Do czasu multi-tenant ipIII, jeden pilot/partner na instancję.

Gdzie DefectDojo jest dziś lepszy — wprost

Dojrzałość i społeczność

DefectDojo rozwija się od lat, ma dużą bazę wdrożeń produkcyjnych i aktywną społeczność OWASP. ipIII jest dowodliwym MVP — krótsza historia, mniejsza baza wdrożeń.

Liczba integracji

Katalog parserów i integracji DefectDojo jest dziś szerszy niż ipIII. To uczciwie oznaczony obszar do dogonienia, nie ukrywany.

Workflow zespołowy

Przypisania, statusy, SLA na poziomie zespołu są w DefectDojo bardziej rozbudowane niż podstawowy triage w ipIII dzisiaj.

Gdzie ipIII dokłada wartość — z dowodem, nie deklaracją

Chain-of-custody i evidence-package

LIVE — pakiet z sha256, manifestem i łańcuchem dowodowym, gotowy do przedstawienia poza zespołem bezpieczeństwa.

Legal Trigger Engine

LIVE (MVP) — mapowanie findingu na potencjalne obowiązki DORA/NIS2/RODO/AI Act jako decision-support, zawsze do weryfikacji prawnika.

Board / regulatory pack

LIVE (MVP) — artefakt zorientowany na odbiorcę spoza SOC: zarząd, audytor, organ nadzoru.

AI-agent security

MVP — testy defensywne agentów AI na danych syntetycznych, po RoE, wyłącznie opis testu i dowodu sukcesu.

Skrót liczbowy

1
import z DefectDojo
LIVE — nie ROADMAP
3
obszary przewagi DefectDojo
dojrzałość, integracje, workflow
4
obszary dodane przez ipIII
evidence, legal triggers, board pack, AI-agent security
0
deklaracji wyższości
porównanie = komplementarność

Rekomendowany wzorzec użycia razem

1. Skanery (Burp/ZAP/Nessus/SAST/SCA) generują surowe findingi.
2. DefectDojo agreguje, deduplikuje, przypisuje właścicieli — to jego mocna strona dziś.
3. Import do ipIII (LIVE) — finding potwierdzony trafia do warstwy dowodowej.
4. Evidence-package + Legal Trigger Engine — dowód i wstępne oznaczenie obowiązku regulacyjnego (decision-support).
5. Board / regulatory pack — jeden artefakt dla zarządu i, po weryfikacji prawnika, dla organu.

Czego ta strona NIE oznacza

To nie jest test „kto wygrywa". DefectDojo i ipIII adresują częściowo różne warstwy tego samego problemu (od findingu do decyzji). Organizacja może używać obu jednocześnie — import z DefectDojo do ipIII jest do tego zaprojektowany.
„MVP" u ipIII nie znaczy „gotowe do produkcji bankowej". Elementy oznaczone MVP mają kod, test i endpoint, ale pełna lista ograniczeń (auth, transport, tenancy, PDF signing) jest jawnie opisana na known-limitations — nie ukrywamy jej w porównaniu.
Granica etyczna. Ta strona nie zawiera ocen jakości kodu DefectDojo, danych wydajnościowych ani twierdzeń o jego bezpieczeństwie — tylko opis zakresu funkcjonalnego na podstawie publicznie znanej roli produktu w kategorii vulnerability management. Wszelkie testy AI-agent security opisane wyżej dotyczą wyłącznie ipIII, są defensywne, na danych syntetycznych i w granicach pisemnych Rules of Engagement.

Powiązane: pełna analiza ekosystemu narzędzi bankowych → /porownanie · konektory (parsery + import DefectDojo) → /connectors · remediation i retest → /remediation · pakiety regulacyjne → /regulatory-packs.