Référentiel des rapports de sécurité SonarQube

Vue d’ensemble

Le Référentiel des rapports de sécurité SonarQube est un composant central de la plateforme Procurize AI qui stocke, indexe et expose les rapports de sécurité SonarQube pour un accès et une analyse à long terme. Le référentiel est optimisé pour une ingestion automatisée, une organisation structurée par produit et version, et une consommation en aval via l’interface utilisateur et les mécanismes d’exportation.

Le référentiel prend en charge les rapports de sécurité générés par SonarQube et est couramment utilisé dans les flux de travail CI/CD, de sécurité applicative et de conformité.

Types de rapports pris en charge

Le référentiel accepte et stocke les types de rapports de sécurité SonarQube suivants :

Chaque rapport est associé à un produit et à une version de produit spécifiques et est stocké avec les métadonnées nécessaires au filtrage, à l’agrégation et à l’analyse historique.

Modèle de données et organisation

Produits et groupes

Les rapports sont organisés à l’aide d’un modèle hiérarchique :

  • Produit
    Représente une application ou un service individuel.

  • Groupe de produits
    Représente un regroupement logique de produits liés.

Les produits et leur hiérarchie de groupe sont définis dans la configuration de la plateforme.
Pour les détails de configuration, voir Comment configurer les rapports de sécurité.

Métadonnées du rapport

Chaque rapport stocké comprend les métadonnées suivantes :

  • Nom du produit
  • Version du produit
  • Type de rapport
  • Date d’exécution de l’analyse
  • Date de téléchargement du rapport
  • Nombre total de vulnérabilités
  • Catégorie globale de vulnérabilité

Ces métadonnées sont utilisées pour le rendu du tableau de bord, le filtrage, les exportations et les intégrations via API.

Représentation dans le tableau de bord

Vue des rapports de sécurité

Les rapports stockés sont exposés dans le tableau de bord Procurize AI sous :

Conformité → Rapport de sécurité

  • Les produits sont affichés sous forme de cartes individuelles

  • Chaque carte de produit contient un tableau montrant les rapports les plus récents par type de rapport

  • Le tableau résume :

    • Date d’analyse
    • Date de téléchargement
    • Nombre de vulnérabilités
    • Catégorie globale de vulnérabilité

Cette vue reflète l’état d’ingestion le plus récent pour chaque produit.

Carte produit SonarQube

Visualisation récapitulative

La page du tableau de bord Accueil affiche les données agrégées du référentiel :

  • Des diagrammes à barres montrent le nombre de rapports par version de produit
  • Les diagrammes sont groupés par type de rapport
  • Fournissent une vue d’ensemble de la couverture des analyses et de l’activité de reporting

Visualisation récapitulative SonarQube

Accès aux rapports et exportation

Visualisation

Les rapports stockés dans le référentiel peuvent être rendus directement dans le navigateur pour examen.

Vue du rapport OWASP

Formats d’exportation

Les formats d’exportation suivants sont pris en charge :

  • HTML
  • PDF
  • Archive ZIP contenant tous les formats pris en charge

Télécharger le rapport

Exportations groupées

Le référentiel prend en charge les opérations d’exportation groupée :

  • Archive ZIP contenant tous les rapports d’un seul produit
  • Archive ZIP contenant les rapports d’un groupe de produits et de ses produits enfants

Les exportations groupées sont généralement utilisées comme preuves d’audit, revues client et soumissions de conformité.

Télécharger tous les rapports

Rapports historiques

Pour chaque type de rapport, le référentiel conserve un historique complet.

  • Tous les rapports précédents restent accessibles
  • Les rapports historiques sont groupés par produit et version
  • Permet une analyse longitudinale des découvertes de sécurité

Les données historiques sont exposées via l’UI dans la vue Liste des rapports précédents.

Rapports historiques

Ingestion des rapports

Intégration API REST

Les rapports sont ingérés dans le référentiel via une interface REST conçue pour l’automatisation.

  • Prise en charge des téléchargements pilotés par CI/CD
  • Permet une ingestion cohérente et répétable des rapports
  • Élimine la gestion manuelle des fichiers

La spécification de l’API est documentée dans API des rapports SonarQube.

Cas d’utilisation prévus

  • Stockage centralisé des rapports de sécurité SonarQube
  • Analyse des tendances de sécurité tenant compte des versions
  • Gestion des preuves de conformité et d’audit
  • Ingestion automatisée depuis les pipelines CI/CD
  • Visibilité de la sécurité au niveau du portefeuille

Voir aussi :

Articles liés

Qu’est‑ce que les rapports de sécurité ?

[OWASP Top 10 – Risques de sécurité des applications Web les plus critiques]https://owasp.org/Top10/2025/)

[CWE Top 25 – Les 25 faiblesses logicielles les plus dangereuses]https://cwe.mitre.org/top25/archive/2024/2024_cwe_top25.html)

en haut
Sélectionnez la langue
English
Română
Tiếng Việt
Indonesia
Melayu
Español
Italiano
Português
Slovenský
Polski
Français
Nederlands
Magyar
Türk
Hrvatski
Lietuvių
Deutsch
Dansk
Svenska
Suomalainen
Български
Հայերեն
हिंदी
ქართული
日本語
中文
한국어
Eestlane
Čeština
Ελληνική
Русский
Українська
עִברִית
فارسی
العربية
ไทย