SonarQube Jelentések API és Webhookok

Ez a cikk leírja, hogyan lehet programozottan elérni a Procurize platformon tárolt SonarQube biztonsági jelentéseket. Bemutatja a jelentések listázására és lekérésére szolgáló REST API-t, a jelentésarchívumok letöltését, valamint a webhook értesítésekre való feliratkozást új jelentések beérkezésekor.

Áttekintés

A SonarQube Jelentések almodul lehetővé teszi a szervezetek számára, hogy központilag tárolják és kezeljék a SonarQube által generált biztonsági és kódfelülvizsgálati jelentéseket. A Procurize platform a következő módon teszi elérhetővé ezeket az adatokat:

• REST API a tárolt jelentések metaadatainak lekéréséhez
• Végpont a jelentés-artefaktusok ZIP archívumként való letöltéséhez
• Webhookok az új jelentések elérhetőségének közel valós idejű értesítéséhez

Ezek a lehetőségek integrációt biztosítanak CI/CD csővezetékekkel, GRC rendszerekkel, belső műszerfalakkal és harmadik fél kockázatkezelő eszközökkel.

Hitelesítés és jogosultság

Az ebben a cikkben leírt összes API‑kérés nem igényel hitelesítést.

Szervezetazonosító

Az összes leírt kéréshez szükség van egy szervezetazonosítóra.
Megtalálja azt a szervezet beállítási paneljén a https://dashboard.procurize.ai oldalon.
Felhívjuk a figyelmet, hogy a beállítási panel eléréséhez engedély szükséges, és a szervezet beállítási paneljéhez legalább Adminisztrátor szerepkörrel kell rendelkeznie az adott szervezetben.

Alap‑URL

Minden REST API végpont a következő alap‑URL alatt érhető el:

https://api.procurize.com

SonarQube Jelentések REST API

Jelentések listázása

Lapozható listát ad vissza a platformon tárolt SonarQube biztonsági jelentésekről.

Végpont

GET /security/report/list

Lekérdezési paraméterek

• org (kötelező): Szervezetazonosító.
• version (opcionális): A termék pontos verziója Semantikus Verziózás formátumban.
• minver (opcionális): A termék minimális verziója Semantikus Verziózás formátumban.
• maxver (opcionális): A termék legnagyobb verziója Semantikus Verziózás formátumban.

Felhívjuk a figyelmet, hogy a kéréshez legalább az version, minver vagy maxver paraméterek közül egyet meg kell adni.

Kérés példa

curl "https://api.procurize.com/security/report/list?org=00000000-0000-0000-0000-000000000001&version=1.0"

Válasz példa

{
  "organizationId": "00000000-0000-0000-0000-000000000001",
  "reports": [
    {
      "projectName": "Test product",
      "id": "00000000-0000-0000-0000-000000000002",
      "reportType": "CWE Top 25",
      "reportVersion": 2024,
      "projectVersion": "1.0",
      "date": "2025-12-17T09:05:48.5946432+00:00",
      "uploadDate": "2025-12-17T09:05:48.5946432+00:00",
      "vulnerabilitiesCount": 0,
      "securityRating": "A"
    }
  ]
}

Jelentésarchívum letöltése

ZIP archívumot tölt le, amely a teljes SonarQube jelentés‑artefaktusokat tartalmazza (HTML és PDF jelentések).

Végpont

GET /security/report/files

• org (kötelező): Szervezetazonosító.
• reports (kötelező): Jelentés‑azonosítók tömbje.

Kérés példa

curl "https://api.procurize.com/security/report/files?org=00000000-0000-0000-0000-000000000001&reports=00000000-0000-0000-0000-000000000002&reports=00000000-0000-0000-0000-000000000003"

Válasz

• Content-Type: application/zip
• A válasz törzse a bináris ZIP fájlt tartalmazza

A klienseknek a választ streameléssel kell kezelniük, majd lemezre menteni.

Hibakezelés

Az API a szabványos HTTP státuszkódokat használja.

• 200 OK: Sikeres kérés
• 204 No Content: A jelentés nem létezik
• 400 Bad Request: Érvénytelen paraméterek vagy hibás kérés
• 500 Internal Server Error: Váratlan szerverhiba

A hibaválaszok gép‑olvasható hibakódot és ember‑olvasható üzenetet tartalmaznak.

Webhookok

A Procurize webhookok lehetővé teszik külső rendszerek számára, hogy értesüljenek új SonarQube jelentések beérkezéséről vagy frissüléséről.

Webhookok konfigurálása

A webhookok hozzáadhatók vagy szerkeszthetők a szervezet beállítási paneljén, a Biztonsági jelentések szekcióban a https://dashboard.procurize.ai oldalon.
Felhívjuk a figyelmet, hogy a beállítási panel eléréséhez engedély szükséges, és a szervezet beállítási paneljéhez legalább Adminisztrátor szerepkörrel kell rendelkeznie.

A webhookok teszteléséhez használhat népszerű online szolgáltatásokat, például a https://webhook-test.com oldalt.

Webhook payload

A webhook események HTTP POST kérésekkel érkeznek, JSON payload‑szal.

Példa payload

{
  "organizationId": "00000000-0000-0000-0000-000000000001",
  "reports": [
    {
      "projectName": "Test product",
      "id": "00000000-0000-0000-0000-000000000002",
      "reportType": "CWE Top 25",
      "reportVersion": 2024,
      "projectVersion": "1.0",
      "date": "2025-12-17T09:05:48.5946432+00:00",
      "uploadDate": "2025-12-17T09:05:48.5946432+00:00",
      "vulnerabilitiesCount": 0,
      "securityRating": "A"
    }
  ]
}

Webhook biztonság

Az autentikáció biztosítása érdekében a webhook kérések egy aláírásfejlécet tartalmaznak, amely közös titok felhasználásával generálódik.

• Az aláírást HMAC‑SHA256 algoritmussal számítják.
• A klienseknek ellenőrizniük kell az aláírást a payload feldolgozása előtt.

Ez megakadályozza a jogosulatlan vagy hamisított webhook kézbesítéseket.

Kézbesítés és újrapróbálkozások

• A webhookoknak 2xx választ kell adniuk a sikeres kézbesítéshez.
• A sikertelen kézbesítéseket óránként automatikusan újrapróbálják.
• Az események többször is elküldésre kerülhetnek; a fogyasztóknak idempotens feldolgozást kell megvalósítaniuk.

Tipikus felhasználási esetek

• SonarQube eredmények automatikus beillesztése belső biztonsági műszerfalakba
• Megfelelőségi folyamatok indítása, ha a minőségi kapuk elbuknak
• Biztonsági jelentések archiválása auditok és beszállítói kockázatértékelések számára
• Harmadik fél rendszerek szinkronizálása a legfrissebb kódbiztonsági állapottal