Úložiště bezpečnostních reportů SonarQube
Přehled
Úložiště bezpečnostních reportů SonarQube je základní komponentou platformy Procurize AI, která ukládá, indexuje a zpřístupňuje bezpečnostní reporty SonarQube pro dlouhodobý přístup a analýzu. Úložiště je optimalizováno pro automatizované ingestování, strukturovanou organizaci podle produktu a verze a následnou konzumaci přes UI i exportní mechanismy.
Úložiště podporuje bezpečnostní reporty generované SonarQube a běžně se používá jako součást CI/CD, aplikací bezpečnosti a workflow souvisejících s dodržováním předpisů.
Podporované typy reportů
Úložiště přijímá a ukládá následující typy bezpečnostních reportů SonarQube:
Každý report je spojen s konkrétním produktem a verzí produktu a je uložen s metadaty potřebnými pro filtrování, agregaci a historickou analýzu.
Datový model a organizace
Produkty a skupiny
Reporty jsou organizovány pomocí hierarchického modelu:
Produkt
Reprezentuje konkrétní aplikaci nebo službu.Skupina produktů
Reprezentuje logické seskupení souvisejících produktů.
Produkty a jejich hierarchii skupin definují v konfiguraci platformy.
Pro podrobnosti o konfiguraci viz Jak konfigurovat bezpečnostní reporty.
Metadata reportu
Každý uložený report obsahuje následující metadata:
- Název produktu
- Verze produktu
- Typ reportu
- Datum provedení skenu
- Datum nahrání reportu
- Celkový počet zranitelností
- Celková kategorie zranitelností
Tato metadata jsou používána pro vykreslování dashboardu, filtrování, exporty a integrace řízené API.
Zobrazení na dashboardu
Zobrazení bezpečnostních reportů
Uložené reporty jsou zpřístupněny v dashboardu Procurize AI pod:
Soulad → Bezpečnostní report
Produkty jsou zobrazeny jako jednotlivé karty
Každá karta produktu obsahuje tabulku zobrazující nejnovější reporty podle typu reportu
Tabulka shrnuje:
- Datum skenu
- Datum nahrání
- Počet zranitelností
- Celková kategorie zranitelností
Toto zobrazení odráží nejaktuálnější stav ingestování reportů pro každý produkt.
Souhrnná vizualizace
Stránka dashboardu Domů zobrazuje agregovaná data úložiště:
- Sloupcové grafy ukazují počet reportů podle verze produktu
- Grafy jsou seskupeny podle typu reportu
- Poskytuje přehled o pokrytí skenováním a aktivitě reportování
Přístup k reportům a export
Zobrazení
Reporty uložené v úložišti lze přímo v prohlížeči zobrazit k přezkoumání.
Exportní formáty
Podporované exportní formáty:
- HTML
- ZIP archiv obsahující všechny podporované formáty
Hromadné exporty
Úložiště podporuje hromadné exportní operace:
- ZIP archiv obsahující všechny reporty pro jeden produkt
- ZIP archiv obsahující reporty pro skupinu produktů a její podřízené produkty
Hromadné exporty se typicky používají jako důkaz pro audity, přezkoumání zákazníky a podání související s dodržováním předpisů.
Historické reporty
Pro každý typ reportu úložiště udržuje kompletní historický záznam.
- Všechny předchozí reporty zůstávají přístupné
- Historické reporty jsou seskupeny podle produktu a verze
- Umožňují longitudinální analýzu bezpečnostních zjištění
Historická data jsou zpřístupněna přes UI pomocí zobrazení Seznam předchozích reportů.
Ingestování reportů
REST API integrace
Reporty jsou ingestovány do úložiště přes rozhraní založené na REST API určené pro automatizaci.
- Podporuje nahrávání řízené CI/CD
- Umožňuje konzistentní, opakovatelné ingestování reportů
- Eliminujte ruční správu souborů
Specifikace API je zdokumentována v SonarQube Reports API.
Očekávané případy použití
- Centralizované úložiště bezpečnostních reportů SonarQube
- Analýza trendů bezpečnosti s ohledem na verze
- Správa důkazů pro compliance a audit
- Automatizované ingestování z CI/CD pipeline
- Viditelnost bezpečnosti na úrovni portfolia
Viz také:
Související články
OWASP Top 10 nejkritičtějších bezpečnostních rizik webových aplikací (2025)