Da cartelle, inventari e report locali a evidence dossier verificabili

Cosa consente di produrre

• Inventory manifest (SQLite o JSON)
• Baseline hash + SHA256SUMS
• Integrity check
• Compare report
• Incident package
• Audit dossier
• Software release evidence pack
• Bundle ZIP / PDF
• Materiali di verifica
• Log e riferimenti di catena di custodia

Dal tool tecnico al dossier operativo

Un hash isolato è utile a un tecnico. Un dossier è utile a un cliente, un auditor, un assicuratore, un consulente o una controparte.

Census porta CertiSigma dentro i processi reali: audit, incident response, supply chain cybersecurity, software release e governance documentale.

Quickstart

# Installa Census.
pip install certisigma-census

# Imposta la API key come variabile d'ambiente.
export CERTISIGMA_API_KEY=...

# Scansiona una directory e crea il manifest.
census scan /path/to/sensitive-files --source inventory-hr

# Confronta file sospetti contro un manifest esistente.
census compare /path/to/suspect-files --manifest .census-manifest.sqlite

# Genera un report leggibile o un archivio verificabile.
census report .census-manifest.sqlite -o dossier.pdf --evidence --integrity
census archive .census-manifest.sqlite -o evidence.zip

Imposta CERTISIGMA_API_KEY come variabile d'ambiente. Non incorporare la chiave nel codice sorgente, in repository pubblici o in artifact distribuiti.

Workflow principali

Census si abbina a workflow ricorrenti. Le pagine di approfondimento dedicate saranno pubblicate nelle prossime iterazioni del hub.

Funzioni operative Census

Census è un prodotto operativo, non solo una utility tecnica. Funzioni verificate e presentate qui in forma curata, non come reference CLI completa:

• Scansione directory ricorsiva
• Creazione inventari hash
• Attestazione batch (con dry run)
• Confronto tra manifest
• Verifica del manifest
• Integrity check locale
• Report e archivio forense (HTML, PDF, ZIP)
• SARIF e JSONL per pipeline CI/security
• GitHub Action + integrazione CI/CD
• Capability avanzate selezionate: SBOM/provenance, timeline, correlation, string attestation e federation

La funzione di compare va descritta con cautela: non "prova" automaticamente un'esfiltrazione, ma può aiutare a verificare se file sospetti corrispondono a digest già presenti in un inventario attestato o in una baseline precedente. Il risultato resta un elemento di correlazione da leggere nel contesto investigativo.

Output tecnici e output leggibili

Census può produrre sia materiali tecnici sia dossier leggibili: manifest SQLite o JSON, SHA256SUMS, report HTML / PDF, archivio di evidenza, OTS proof, chain_of_custody.json, report di integrità, differenze tra baseline, timeline forensi e materiali esportabili per analisi DFIR.

Software supply chain e AI governance

Per i workflow software, Census può essere posizionato anche come supporto a SBOM, artifact di release, provenance SLSA, vulnerability report e GitHub Action. Per l'AI governance, lo stesso modello può essere applicato a manifest di dataset, policy report, exclusion list, decision log e training run metadata.

GitHub Action

Census si integra in pipeline GitHub Actions come step dedicato. La chiave API viene letta da un secret di repository, non da un valore in chiaro nel workflow.

name: CertiSigma Census on push
on:
  push:
    branches: [main]
jobs:
  attest:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - name: Census attest release artifacts
        uses: certisigma/census-action@v1
        with:
          path: dist/
          source: software-release
        env:
          CERTISIGMA_API_KEY: ${{ secrets.CERTISIGMA_API_KEY }}

Limiti operativi

Messaggio essenziale

Census trasforma cartelle, inventari e report locali in evidenze organizzate. Non sposta i contenuti fuori dall'ambiente del cliente e non sostituisce l'analisi tecnica, ma rende più forte la baseline documentale su cui audit, incident response, software release e due diligence possono lavorare.