综合介绍
Comp AI 是一个开源平台,由 Comp AI, Inc. 开发,总部位于美国旧金山。它帮助企业通过自动化工具快速完成 SOC 2、ISO 27001 和 GDPR 等合规要求,目标是几周内完成准备,而非几个月。平台定位为 Drata 和 Vanta 的开源替代品,强调透明和低成本。Comp AI 用代码解决合规问题,能自动收集证据、管理策略和实施控制。它支持云端使用和本地部署,核心功能免费开源(AGPLv3 许可),部分高级功能需商业许可,适合各种规模的公司。
功能列表
- 合规自动化:支持 SOC 2、ISO 27001、GDPR 等框架的合规流程。
- 证据收集:自动从集成工具中提取合规证明。
- 实时监控:检测安全风险和合规差距。
- 策略管理:提供预设合规策略和控制措施。
- 风险管理:识别并修复系统中的安全问题。
- 自托管支持:允许企业本地部署,控制数据和基础设施。
使用帮助
Comp AI 提供云端版和本地部署版两种方式。以下是详细操作指南。
云端版使用
- 注册账号
打开 https://trycomp.ai/,加入候补名单(waitlist)获取云端访问权限。收到邀请后,在 https://app.trycomp.ai/ 创建账号,输入邮箱和密码,点击“Continue”注册。 - 初始设置
登录后,选择合规框架(如 SOC 2)。连接工具(目前支持 AWS、Slack 等,更多集成开发中),按页面指引授权。 - 功能操作
- 合规自动化:在仪表盘选择框架,查看合规进度和待办事项。
- 证据收集:点击“Evidence”,系统自动从连接工具抓取数据,生成报告。
- 实时监控:选择“Monitoring”,查看安全状态,红色标记需修复项。
- 策略管理:在“Policies”查看预设策略,调整后应用到团队。
- 风险管理:运行扫描,查看问题和修复建议。
本地部署版安装与使用
- 环境准备
确保安装以下工具:- Node.js(版本 >= 20.x,建议用
nvm
管理) - Bun(版本 >= 1.1.36)
- Postgres(版本 >= 15.x)
- Git 和 Docker
- Node.js(版本 >= 20.x,建议用
- 克隆代码
在终端运行:
git clone https://github.com/trycompai/comp.git
cd comp
- 安装依赖
执行:
bun i
- 配置环境
复制示例文件并生成密钥:
cp apps/web/.env.example apps/web/.env
cp apps/app/.env.example apps/app/.env
openssl rand -base64 32
将密钥填入 apps/app/.env
的 AUTH_SECRET
,并配置其他变量(如数据库连接)。
5. 设置数据库
启动 Postgres 并初始化:
bun docker:up
bun db:generate
bun db:push
bun db:seed # 可选,填充初始数据
- 启动服务
运行开发服务器:
turbo dev
访问 http://localhost:3000
使用本地版。
7. 功能操作
与云端版一致,登录后按上述步骤操作。
特色功能详解
- 证据收集:连接工具后,系统自动抓取日志和配置,生成合规报告,减少手动工作。
- 实时监控:扫描系统,发现问题(如未加密数据)并实时提醒。
- 自托管支持:本地部署后,企业可完全控制数据,适配私有云或特殊需求。
注意事项
- 云端版需等待邀请,本地版需定期更新代码(
git pull
)。 - 修改代码并公开发布需遵守 AGPLv3 许可,商业用途可联系 <hello@trycomp.ai> 获取许可。
- 如遇问题,可邮件联系或在 GitHub 讨论区求助。
应用场景
- 小型企业合规
一家初创公司需通过 SOC 2 赢得客户。Comp AI 自动收集证据,快速准备审计。 - 开发团队使用
开发团队想自托管合规工具。Comp AI 部署在本地,集成现有技术栈。 - 安全改进
一家公司需监控 GDPR 合规。平台实时检测问题并提供解决方案。
QA
- Comp AI 免费吗?
核心功能免费开源(AGPLv3),托管在 GitHub。高级功能需商业许可,具体费用需联系官方。 - 支持哪些技术栈?
使用 Next.js、Prisma、Tailwind CSS、Trigger.dev 等构建,支持 AWS、Slack 等集成。 - 如何部署到云端?
目前支持本地部署,Docker 和 Vercel 部署说明即将推出。