Report na klik: co vše za vás doplní aplikace
Penetrační test bez kvalitního reportu je jako audit bez závěrečné zprávy. Výsledky existují, ale nikdo je nedostane ve formě, kterou by mohl skutečně použít. Přitom právě tvorba reportu bývá jednou z nejnáročnějších, a nejméně technicky zajímavých, částí celého projektu.
Tento článek ukazuje, jak Penterep přistupuje k evidenci zranitelností a generování výstupní zprávy, co vše platforma doplní automaticky a kde zůstává prostor pro individuální nastavení zákazníka.
Díky sesbíraným datům od těch nejzkušenějších víme, jak nejefektivněji reporty generovat, i v době AI. A víme také, kdy report od AI nestačí.
Co je to vlastně zranitelnost a jak se eviduje
Zranitelnost (anglicky vulnerability) je slabina v systému, aplikaci nebo procesu, kterou může útočník zneužít k získání neoprávněného přístupu, narušení dostupnosti nebo úniku dat. V praxi penetračního testování se pracuje s tisíci různými typy zranitelností, od triviálních konfigurací po komplexní logické chyby.
Pro účely standardizace a srovnatelnosti se zranitelnosti popisují pomocí několika zavedených systémů:
- CVE (Common Vulnerabilities and Exposures), globální identifikátor konkrétní zranitelnosti v softwaru. Každé CVE má přiřazeno unikátní číslo (např. CVE-2025-58098), popis, datum zveřejnění a skóre závažnosti. CVE spravuje MITRE Corporation ve spolupráci s NVD (National Vulnerability Database) [1].
- CWE (Common Weakness Enumeration), katalog typů slabin v softwaru. Zatímco CVE identifikuje konkrétní výskyt, CWE popisuje obecnou třídu problému. Například CWE-116 označuje nedostatečné kódování nebo escapování výstupu [2].
- CVSS (Common Vulnerability Scoring System), standardizovaný systém hodnocení závažnosti zranitelností na škále 0–10. CVSS skóre se vypočítává z vektoru zohledňujícího útočný vektor, složitost útoku, požadovaná oprávnění, dopad na důvěrnost, integritu a dostupnost. Aktuálně se používá verze CVSS 4.0, vydaná v roce 2023 organizací FIRST [3].
Příklad: jak vypadá evidovaná zranitelnost v praxi
Představte si, že při testu webové aplikace zjistíte, že server odpovídá s hlavičkou Server: Apache/2.4.65 (Debian). Na první pohled drobnost, ve skutečnosti ale útočník okamžitě ví, jaký software a jakou verzi cíl provozuje, a může v databázích CVE vyhledat pro ni dostupné exploity.
V tomto konkrétním případě existují pro Apache HTTP Server 2.4.65 čtyři veřejně zdokumentované zranitelnosti (CVE-2025-66200, CVE-2025-65082, CVE-2025-59775, CVE-2025-58098), přičemž nejvyšší CVSS skóre dosahuje 8.3, závažnost hodnocená jako vysoká. Doporučená náprava je aktualizace na verzi 2.4.66.
Tato zranitelnost se eviduje v kategorii V14 Konfigurace / V14.3 Nezamýšlené bezpečnostní zveřejnění informací a současně jako V14 Konfigurace / V14.2 Závislosti (zastaralá verze součásti). Nalezená verze softwaru je přitom přílohou, screenshot z prohlížeče nebo odpovědi serveru.
Takto strukturovaně se eviduje každý nález. A právě zde začíná práce, která u ručního psaní reportu spotřebuje hodiny.
Od nálezu k reportu: kde se ztrácí čas
Realita tvorby reportu dnes vypadá různě. Někteří testeři otevřou Word nebo LaTeX šablonu a píší každý nález od základu ručně. Jiní pracují s připravenými šablonami, kde vyplňují předem definovaná pole. Část týmů už dnes sahá po generátorech reportů nebo experimentuje s AI, nechá model navrhnout text nálezu a upraví ho.
Každý z těchto přístupů je lepší než začínat od nuly. Ale ani jeden z nich neřeší klíčový problém: tester musí data o nálezu zadat (nebo opravit) znovu, přestože je při testování už jednou zpracoval. Přibývá překlepy, nekonzistentní formulace, různé úrovně detailu u různých testerů v týmu, a čas, který by šel využít jinak.
Výzkum v oblasti bezpečnostního reportingu ukazuje, že bez dedikované platformy tvoří administrativa reportu přibližně 35 % celkové pracovní doby projektu [4]. U týmů, které používají generátory nebo AI asistenci, klesá toto číslo přibližně na 20 %, ale stále jde o nezanedbatelnou část celkového času. A to mluvíme o rutinní práci, která nevyžaduje bezpečnostní znalosti, pouze píli a soustředění.
Penterep tento model mění.
Co doplní Penterep automaticky
Celý systém reportu je postavený na tom, že tester eviduje nálezy průběžně během testování. Z těchto dat pak platforma sestaví výsledný dokument, bez nutnosti cokoli opisovat nebo ručně formátovat.
Automaticky se doplňuje:
- Manažerské shrnutí, přehled nálezů podle závažnosti (Kritická / Vysoká / Střední / Nízká / Informační) i podle kategorie (V0–V14 dle ASVS/WSTG metodiky), číselně i graficky jako sloupcový přehled.
- Obsah dokumentu, automaticky generovaný rejstřík všech sekcí s čísly stránek.
- Popis a průběh testu, metodiky, rozsah testování, podmínky, kontakty.
- Každý nález jako samostatná sekce, název, vizuální indikátor závažnosti, CWE, CVSS skóre a řetězec, kategorie, popis zranitelnosti, příčiny, projevy, dopady, doporučení k nápravě, výskyt a přílohy.
- Číslování a správné pořadí nálezů, od nejvyšší závažnosti po nejnižší, bez nutnosti ručního řazení.
- Metadata dokumentu, datum, verze reportu, jméno auditora, název projektu.
Tester se tedy může soustředit na samotné testování a evidenci nálezů. Vše ostatní platforma sestaví sama.
Vlastní databáze zranitelností
Jednou ze specifických vlastností platformy je vlastní databáze zranitelností. Nejde o kopii veřejného CVE registru, jde o interní znalostní bázi Penterep, kde jsou jednotlivé zranitelnosti popsány v konzistentní struktuře: popis, příčina, projevy, dopady a doporučení k nápravě.
Tester při evidenci nálezu tuto databázi prohledá, vybere odpovídající zranitelnost a její obsah se automaticky propíše do reportu. Není třeba formulovat popis od základu, základ je připravený, tester ho doplní o specifika konkrétního výskytu. Výsledkem je konzistentní kvalita popisů napříč celým týmem, bez ohledu na to, kdo daný nález evidoval.
Kalkulačka CVSS přímo v platformě
Pokud zákazník požaduje, aby byl každý nález ohodnocen standardizovaným CVSS skóre (což je běžný požadavek při auditech pro regulované sektory nebo dle NIS2 / ISO 27001), Penterep obsahuje integrovanou kalkulačku CVSS.
Tester vybere hodnoty jednotlivých vektorů, útočný vektor, složitost, požadovaná oprávnění, dopad, a platforma vypočítá výsledné skóre a vygeneruje CVSS řetězec ve správném formátu (např. CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N). Tato hodnota se pak automaticky propíše do reportu k danému nálezu.
Vzhled reportu je na zákazníkovi
Výstupní zpráva není pevně daná šablona. Penterep umožňuje přizpůsobení vzhledu reportu podle konkrétních potřeb zákazníka nebo pentest firmy:
- vlastní logo a hlavička,
- barevná schémata a typografie,
- volba sekcí, které se do reportu zahrnou,
- možnost doplnit vlastní textové bloky (např. executive summary psané na míru, specifické podmínky testu, smluvní doložky).
Report se tak stává součástí firemní identity zákazníka nebo firmy, která testování provádí, ne generickým výstupem vypadajícím stejně pro všechny projekty. A protože je výstupem strukturovaný dokument sestavený z evidovaných dat, lze ho také zpětně upravit a vygenerovat znovu, například po re-testu, kdy zákazník opravil část nálezů a potřebuje aktualizovanou verzi zprávy.
Kolik času to reálně šetří
Orientační srovnání času stráveného tvorbou reportu v různých přístupech:
| Aktivita | Ruční / šablona | S generátorem / AI | Penterep |
|---|---|---|---|
| Popis každého nálezu | 15–25 min/nález | 8–15 min/nález | eviduje se průběžně |
| Sestavení manažerského shrnutí | 30–60 min | 20–40 min | automaticky |
| Generování obsahu, číslování stran | 15–30 min | 10–20 min | automaticky |
| Export do PDF | 5–15 min | 5–15 min | 1 klik |
| Podíl reportu na celkovém čase projektu | ~35 % | ~20 % | ~5 % |
U rozsáhlejších projektů s 20–40 nálezy se tato úspora dál prohlubuje, v absolutních číslech může jít o celý pracovní den navíc věnovaný samotnému testování místo administrativě. To odpovídá potenciálnímu nárůstu kapacity testera o 15–30 % na jeden projekt.
Proč na struktuře záleží
Dobře strukturovaný report není jen formalita. Je to dokument, který zákazník předává interním týmům, vedení, auditorům nebo regulátorům. Musí být srozumitelný pro technické i netechnické čtenáře zároveň.
„Dobře strukturovaný report není jen formalita. Je to to, co z penetračního testování dělá skutečně hodnotnou investici, ne jen splněný požadavek na papíře."
Standardizovaná struktura, manažerské shrnutí pro vedení, detailní technický popis pro vývojáře, jasná doporučení k nápravě pro správce systémů, zajišťuje, že informace se dostanou ke správným lidem ve správné formě. A to je v konečném důsledku to, co z penetračního testování dělá skutečně hodnotnou investici, ne jen splněný požadavek na papíře, a ne jen výstup vygenerovaný AI.
Zdroje
- MITRE Corporation. CVE – Common Vulnerabilities and Exposures. cve.org
- MITRE Corporation. CWE – Common Weakness Enumeration. cwe.mitre.org
- FIRST.Org. CVSS v4.0 Specification Document, 2023. first.org/cvss
- OWASP. Application Security Verification Standard (ASVS). owasp.org
- NIST. National Vulnerability Database. nvd.nist.gov
