Oba narzędzia agregują findingi bezpieczeństwa. Różnią się warstwą, na której skupiają wysiłek. DefectDojo to dojrzały, wieloletni open-source vulnerability management z bogatym ekosystemem integracji. ipIII to MVP warstwy dowodowo-regulacyjnej (chain-of-custody, legal triggers, board/regulatory pack) plus bezpieczeństwo agentów AI. Ta strona nie twierdzi, że ipIII jest „lepszy" — pokazuje, gdzie się uzupełniają i gdzie DefectDojo jest dziś bardziej dojrzały.
DefectDojo odpowiada na pytanie „jakie mamy podatności i jak nimi zarządzać". ipIII odpowiada na pytanie „jak z findingu zrobić dowód, który przetrwa przed zarządem, audytorem lub regulatorem — i czy ten finding uruchamia obowiązek prawny (DORA/NIS2/RODO/AI Act)". Import findingów z DefectDojo do ipIII działa dziś (LIVE) — to nie jest hipotetyczna integracja.
| Wymiar | DefectDojo | ipIII | Gdzie się uzupełniają |
|---|---|---|---|
| Agregacja findingów | Dziesiątki parserów skanerów (SAST/DAST/SCA), wieloletnia dojrzałość, duża społeczność. dojrzałe | Parsery Burp/ZAP/Nessus/CSV + import z DefectDojo. LIVE (mniejszy zestaw). | ipIII może czytać z DefectDojo jako źródła — nie trzeba duplikować parserów skanerów. |
| Deduplikacja / triage | Wbudowane reguły deduplikacji, statusy, przypisania (assignee), workflow zespołowy. dojrzałe | Podstawowy triage w kolejce incydentów; deduplikacja mniej rozbudowana niż w DefectDojo. gap | Rekomendacja: triage w DefectDojo, potem import stanu „potwierdzony" do ipIII. |
| Chain-of-custody / evidence-package | Nie jest głównym celem produktu; brak natywnego pakietu z hashem i łańcuchem dowodowym do zarządu. poza zakresem DefectDojo | Evidence-package z sha256, manifestem i chain-of-custody w PostgreSQL. LIVE |
ipIII dokłada warstwę „dowód gotowy do pokazania na zewnątrz" nad danymi z DefectDojo. |
| Mapowanie regulacyjne (DORA/NIS2/RODO/AI Act) | Brak wbudowanego silnika terminów prawnych; można ręcznie tagować, ale bez automatycznego wyzwalania. poza zakresem DefectDojo | Legal Trigger Engine — decision-support, nie porada prawna; terminy orientacyjne, do weryfikacji prawnika. LIVE (MVP) | Finding potwierdzony w DefectDojo może zasilić Legal Trigger Engine w ipIII, żeby oznaczyć potencjalny obowiązek zgłoszenia. |
| Board / regulatory pack | Raporty metryk i eksport danych; brak gotowego szablonu „pakiet dla zarządu/regulatora" z narracją prawną. częściowo, inny cel | Board pack + regulatory pack jako artefakt PDF/JSON z odwołaniem do evidence-package. LIVE (MVP) | Dane surowe z DefectDojo + kontekst prawny ipIII = jeden spójny pakiet wyjściowy. |
| Bezpieczeństwo agentów AI | Nie adresuje wprost (produkt starszy niż kategoria „AI-agent security"). poza zakresem DefectDojo | Testy defensywne (prompt-injection, nadużycie narzędzi) na danych syntetycznych, po RoE — opis CO testowane i JAKI dowód sukcesu, bez payloadów. MVP | Osobna, nowa kategoria ryzyka — ipIII traktuje ją jako rozszerzenie tej samej doktryny evidence-first. |
| Integracje CI/CD i ekosystem | Duży, dojrzały katalog integracji (Jenkins, GitLab, GitHub Actions, JIRA i inne), stabilne API. dojrzałe | Mniejszy zestaw dziś; webhook ingestion i STIX/TAXII oznaczone jako ROADMAP. | Do czasu domknięcia własnych integracji CI/CD, DefectDojo pozostaje praktycznym hubem wejściowym. |
| Multi-tenant / skala organizacji | Wspiera wiele produktów/zespołów w jednej instalacji od dawna. dojrzałe | Jedna organizacja dziś; tenant scoping + RLS oznaczone jako ROADMAP (patrz known-limitations). | Do czasu multi-tenant ipIII, jeden pilot/partner na instancję. |
DefectDojo rozwija się od lat, ma dużą bazę wdrożeń produkcyjnych i aktywną społeczność OWASP. ipIII jest dowodliwym MVP — krótsza historia, mniejsza baza wdrożeń.
Katalog parserów i integracji DefectDojo jest dziś szerszy niż ipIII. To uczciwie oznaczony obszar do dogonienia, nie ukrywany.
Przypisania, statusy, SLA na poziomie zespołu są w DefectDojo bardziej rozbudowane niż podstawowy triage w ipIII dzisiaj.
LIVE — pakiet z sha256, manifestem i łańcuchem dowodowym,
gotowy do przedstawienia poza zespołem bezpieczeństwa.
LIVE (MVP) — mapowanie findingu na potencjalne obowiązki DORA/NIS2/RODO/AI Act jako decision-support, zawsze do weryfikacji prawnika.
LIVE (MVP) — artefakt zorientowany na odbiorcę spoza SOC: zarząd, audytor, organ nadzoru.
MVP — testy defensywne agentów AI na danych syntetycznych, po RoE, wyłącznie opis testu i dowodu sukcesu.
Powiązane: pełna analiza ekosystemu narzędzi bankowych → /porownanie · konektory (parsery + import DefectDojo) → /connectors · remediation i retest → /remediation · pakiety regulacyjne → /regulatory-packs.