Webhook di report SonarQube

Scopri come funzionano i webhook SonarQube in Procurize AI, inclusa la configurazione, la struttura del payload, la convalida della sicurezza e il comportamento di ripetizione.

Panoramica

I webhook di Procurize consentono ai sistemi esterni di ricevere notifiche quando nuovi report SonarQube vengono inseriti o aggiornati.

Configurazione dei webhook

I webhook possono essere aggiunti o modificati nel pannello delle impostazioni dell’Organizzazione, sezione Report di sicurezza su https://dashboard.procurize.ai. Si noti che l’accesso al pannello delle impostazioni richiede l’autorizzazione, e l’accesso al pannello delle impostazioni dell’organizzazione richiede un ruolo utente di almeno Amministratore in tale organizzazione.

Editor dei webhook

Per verificare i webhook, è possibile utilizzare servizi online popolari come https://webhook-test.com

Payload del webhook

I webhook inviano eventi come richieste HTTP POST con un payload JSON.

Esempio di Payload

{
  "organizationId": "00000000-0000-0000-0000-000000000001",
  "reports": [
    {
      "projectName": "Test product",
      "id": "00000000-0000-0000-0000-000000000002",
      "reportType": "CWE Top 25",
      "reportVersion": 2024,
      "projectVersion": "1.0",
      "date": "2025-12-17T09:05:48.5946432+00:00",
      "uploadDate": "2025-12-17T09:05:48.5946432+00:00",
      "vulnerabilitiesCount": 0,
      "securityRating": "A"
    }
  ]
}

Sicurezza del webhook

Per garantire l’autenticità, le richieste del webhook includono un’intestazione di firma generata utilizzando un segreto condiviso.

  • La firma è calcolata utilizzando HMAC-SHA256
  • I client dovrebbero verificare la firma prima di elaborare il payload

Ciò impedisce consegne di webhook non autorizzate o falsificate.

Consegna e ritentativi

  • I webhook si aspettano una risposta 2xx per essere considerati consegnati con successo
  • Le consegne fallite sono ritentate automaticamente ogni ora.
  • Gli eventi possono essere consegnati più di una volta; i consumatori dovrebbero implementare un’elaborazione idempotente

Casi d’uso tipici

  • Ingerire automaticamente i risultati SonarQube nei cruscotti di sicurezza interni
  • Attivare flussi di lavoro di conformità quando le quality gate falliscono
  • Archiviare i report di sicurezza per audit e revisioni dei rischi dei fornitori
  • Mantenere i sistemi di terze parti sincronizzati con l’ultima postura di sicurezza del codice

Vedi anche:

Articoli correlati

Cosa sono i report di sicurezza?

Repository dei report di sicurezza

Come configurare i report di sicurezza

in alto
Seleziona lingua
English
Lietuvių
Magyar
Türk
Suomalainen
Nederlands
Svenska
Deutsch
Slovenský
Hrvatski
हिंदी
ქართული
日本語
中文
한국어
Eestlane
Dansk
Հայերեն
Italiano
Melayu
Indonesia
Polski
Tiếng Việt
Español
Română
Português
Français
Ελληνική
Українська
Čeština
Български
Русский
עִברִית
فارسی
العربية
ไทย