مخزن گزارشهای امنیتی SonarQube
مرور کلی
مخزن گزارشهای امنیتی SonarQube یک مؤلفه اساسی در بستر Procurize AI است که گزارشهای امنیتی SonarQube را برای دسترسی و تجزیه و تحلیل طولانیمدت ذخیره، فهرستبندی و در دسترس قرار میدهد. این مخزن برای دریافت خودکار، سازماندهی ساختاری بر اساس محصول و نسخه، و مصرف در سطح رابط کاربری و مکانیزمهای خروجی بهینهسازی شده است.
این مخزن از گزارشهای امنیتی تولید شده توسط SonarQube پشتیبانی میکند و بهطور معمول در جریانهای CI/CD، امنیت برنامه و کارهای پیگیری انطباق به کار گرفته میشود.
انواع گزارشهای پشتیبانیشده
مخزن انواع گزارشهای امنیتی SonarQube زیر را میپذیرد و ذخیره میکند:
هر گزارش با یک محصول و نسخه محصول خاص مرتبط است و همراه با متادیتاهای لازم برای فیلتر، تجمیع و تحلیل تاریخی ذخیره میشود.
مدل داده و سازماندهی
محصولات و گروهها
گزارشها با استفاده از یک مدل سلسلهمراتبی سازماندهی میشوند:
محصول
نمایانگر یک برنامه یا سرویس مستقل است.گروه محصول
نمایانگر گروهبندی منطقی محصولات مرتبط میباشد.
محصولات و سلسلهمراتب گروه آنها در پیکربندی بستر تعریف میشوند. برای جزئیات پیکربندی، مراجعه کنید به نحوه پیکربندی گزارشهای امنیتی.
متادیتای گزارش
هر گزارش ذخیرهشده شامل متادیتاهای زیر است:
- نام محصول
- نسخه محصول
- نوع گزارش
- تاریخ اجرای اسکن
- تاریخ بارگذاری گزارش
- تعداد کل آسیبپذیریها
- دستهبندی کلی آسیبپذیریها
این متادیتا برای رندر داشبورد، فیلتر، خروجی و یکپارچهسازیهای مبتنی بر API به کار میرود.
نمایش در داشبورد
نمای گزارشهای امنیتی
گزارشهای ذخیرهشده در داشبورد Procurize AI تحت مسیر زیر در دسترس هستند:
انطباق → گزارش امنیتی
- محصولات به صورت کارتهای جداگانه نمایش داده میشوند
- هر کارت محصول شامل جدولی است که جدیدترین گزارشها را بر اساس نوع گزارش نشان میدهد
- جدول خلاصهای از موارد زیر ارائه میکند:
- تاریخ اسکن
- تاریخ بارگذاری
- تعداد آسیبپذیریها
- دستهبندی کلی آسیبپذیریها
این نما، وضعیت جدیدترین دریافت گزارش برای هر محصول را نشان میدهد.
تصویر کلی
صفحه داشبورد خانه دادههای تجمیعی مخزن را به نمایش میگذارد:
- نمودارهای ستوندار تعداد گزارشها بر پایه نسخه محصول را نشان میدهند
- نمودارها بر اساس نوع گزارش گروهبندی میشوند
- یک نمای کلی از پوشش اسکن و فعالیتهای گزارشدهی ارائه میدهند
دسترسی به گزارش و خروجی
مشاهده
گزارشهای ذخیرهشده در مخزن میتوانند مستقیماً در مرورگر برای بازبینی رندر شوند.
فرمتهای خروجی
فرمتهای خروجی زیر پشتیبانی میشوند:
- HTML
- آرشیو ZIP حاوی تمام فرمتهای پشتیبانیشده
خروجیهای دستهای
مخزن قابلیت خروجی دستهای دارد:
- آرشیو ZIP شامل تمام گزارشهای یک محصول واحد
- آرشیو ZIP شامل گزارشهای یک گروه محصول و محصولات فرزندی آن
خروجیهای دستهای معمولاً برای ارائه شواهد حسابرسی، بازبینیهای مشتری و ارائه به مراجع انطباق استفاده میشوند.
گزارشهای تاریخی
برای هر نوع گزارش، مخزن سوابق تاریخی کاملی را حفظ میکند.
- تمام گزارشهای قبلی همچنان در دسترس باقی میمانند
- گزارشهای تاریخی بر اساس محصول و نسخه گروهبندی میشوند
- امکان تحلیل طولی یافتههای امنیتی را فراهم میسازد
دادههای تاریخی از طریق رابط کاربری در نمای فهرست گزارشهای قبلی در دسترس هستند.
دریافت گزارش
یکپارچهسازی API REST
گزارشها از طریق یک رابط REST‑مبنی برای خودکارسازی به مخزن منتقل میشوند.
- پشتیبانی از بارگذاریهای هدایتشده توسط CI/CD
- امکان دریافت مداوم و تکراری گزارشها
- حذف نیاز به مدیریت دستی فایلها
مشخصات API در API گزارشهای SonarQube مستند شده است.
موارد استفاده مورد انتظار
- ذخیرهسازی متمرکز گزارشهای امنیتی SonarQube
- تحلیل روندهای امنیتی با درک نسخهها
- مدیریت شواهد حسابرسی و انطباق
- دریافت خودکار از خطوط لوله CI/CD
- دید کلی امنیتی در سطح پرتفوی