SonarQube’i turvaraportite hoidla

Ülevaade

SonarQube’i turvaraportite hoidla on Procurize AI platvormi keskne komponent, mis salvestab, indekseerib ja avaldab SonarQube’i turvaraporteid pikaajalise juurdepääsu ja analüüsi jaoks. Hoidla on optimeeritud automatiseeritud sisestamiseks, struktureeritud korraldamiseks toote ja versiooni lõikes ning allkirjutamiseks UI ja eksportimehhanismide kaudu.

Hoidla toetab SonarQube’i genereeritud turvaraporteid ning on tavaliselt kasutusel CI/CD, rakenduste turvalisuse ja vastavuse töövoogudes.

Toetatud aruandetüübid

Hoidla võtab vastu ja salvestab järgmisi SonarQube’i turvaraportite tüüpe:

• OWASP Top 10
• CWE Top 25

Iga aruanne on seotud konkreetse tootega ja tooteversiooniga ning salvestatakse metaandmetega, mis on vajalikud filtreerimiseks, agregeerimiseks ja ajalooliseks analüüsiks.

Andmemudel ja korraldus

Tooted ja rühmad

Aruandeid korraldatakse hierarhilise mudeli abil:

• Toode
  Esindab üksikut rakendust või teenust.

• Tootegrupp
  Esindab loogilist seostatud toodete grupi.

Tooted ja nende rühmehieraarkia on määratletud platvormi konfiguratsioonis.
Konfiguratsiooni üksikasjad on toodud siin: Kuidas konfigureerida turvaraporte.

Aruande metaandmed

Iga salvestatud aruanne sisaldab järgmisi metaandmeid:

• Toote nimi
• Toote versioon
• Aruandetüüp
• Skaneerimise täitmiskuupäev
• Aruande üleslaadimise kuupäev
• Haavatavuste koguarv
• Üldine haavatavuse kategooria

Need metaandmed on kasutusel armatuurlaua renderdamisel, filtreerimisel, eksportidel ja API‑põhistes integreerimistes.

Armatuurlaua esitus

Turvaraportite vaade

Salvestatud aruandeid näidatakse Procurize AI armatuurlaual asukohas:

Vastavus → Turvaraport

• Tooteid kuvatakse eraldiseisvate kaartidena

• Iga tootekaart sisaldab tabelit, mis näitab viimaseid aruandeid iga aruandetüübi kohta

• Tabel võtab kokku:

  • Skaneerimise kuupäev
  • Üleslaadimise kuupäev
  • Veaide arv
  • Üldine haavatavuse kategooria

See vaade kajastab iga toote jaoks viimase sisestuse olekut.

Kokkuvõtte visualiseerimine

Avaleht armatuurlaua leht kuvab koondatud hoidla andmeid:

• Riba diagrammid näitavad aruannete arvu tooteversiooni kohta
• Diagrammid on grupeeritud aruandetüübi järgi
• Pakub kõrgetasemelist ülevaadet skannimise katvusest ja aruandlusest

Aruannete juurdepääs ja eksport

Vaade

Hoidlas salvestatud aruandeid saab brauseris otse sirvida.

Ekspordiformaadid

Järgmist tüüpi ekspordid on toetatud:

• HTML
• PDF
• ZIP‑arhiiv, mis sisaldab kõiki toetatud vorminguid

Masstekst eksport

Hoidla toetab massseks eksportimiseks:

• ZIP‑arhiiv, mis sisaldab kõiki aruandeid ühe toote jaoks
• ZIP‑arhiiv, mis sisaldab aruandeid tootegrupi ja selle alamtoodete jaoks

Masstekst eksporti kasutatakse tavaliselt auditi tõendite, kliendi ülevaadete ja vastavusdokumentide esitamiseks.

Ajaloolised aruanded

Iga aruandetüübi kohta hoiab hoidla täielikku ajaloolist kirjet.

• Kõik varasemad aruanded on endiselt ligipääsetavad
• Ajaloolised aruanded on grupeeritud toote ja versiooni järgi
• Võimaldab pikaajalist analüüsi turvalisuse leidude osas

Ajaloolised andmed on UI kaudu nähtavad Eelmiste aruannete loend vaates.

Aruannete sisestamine

REST API integratsioon

Aruandeid sisestatakse hoidlasse REST‑põhise liidese kaudu, mis on mõeldud automatiseerimiseks.

• Toetab CI/CD‑põhiseid üleslaadimisi
• Võimaldab järjekindlat, korduvat aruannete sisestamist
• Kaotab üleliigse käsitsi failihalduse

API spetsifikatsioon on dokumenteeritud SonarQube’i aruannete API‑s.

Kasutusjuhtumid

• Keskne salvestus SonarQube’i turvaraportitele
• Versiooniteadlik turvatrendide analüüs
• Vastavuse ja auditi tõendite haldamine
• Automaatne sisestamine CI/CD torustikest
• Portfelli tasandil turvalisuse nähtavus

Vaata ka:

• Kuidas konfigureerida turvaraporte
• SonarQube’i aruannete API

Seotud artiklid

Mis on turvaraportid?

[OWASP Top 10 kõige kriitilisemat veebirakenduste turvariski] (https://owasp.org/Top10/2025/)

[CWE Top 25 kõige ohtlikumat tarkvarataha] (https://cwe.mitre.org/top25/archive/2024/2024_cwe_top25.html)