SonarQube 보고서 Webhooks

Procurize AI에서 SonarQube 웹훅이 어떻게 작동하는지, 설정, 페이로드 구조, 보안 검증 및 재시도 동작을 포함하여 알아봅니다.

개요

Procurize 웹훅은 새로운 SonarQube 보고서가 수집되거나 업데이트될 때 외부 시스템이 알림을 받을 수 있게 합니다.

웹훅 구성

웹훅은 조직의 설정 패널, 보안 보고서 섹션에서 https://dashboard.procurize.ai 에서 추가하거나 편집할 수 있습니다.
설정 패널에 접근하려면 권한이 필요하며, 조직의 설정 패널에 접근하려면 해당 조직에서 최소 관리자 역할이 있어야 합니다.

웹훅 편집기

웹훅을 확인하려면 https://webhook-test.com 과 같은 인기 온라인 서비스를 사용할 수 있습니다.

웹훅 페이로드

웹훅 이벤트는 JSON 페이로드를 포함한 HTTP POST 요청으로 전달됩니다.

Example Payload

{
  "organizationId": "00000000-0000-0000-0000-000000000001",
  "reports": [
    {
      "projectName": "Test product",
      "id": "00000000-0000-0000-0000-000000000002",
      "reportType": "CWE Top 25",
      "reportVersion": 2024,
      "projectVersion": "1.0",
      "date": "2025-12-17T09:05:48.5946432+00:00",
      "uploadDate": "2025-12-17T09:05:48.5946432+00:00",
      "vulnerabilitiesCount": 0,
      "securityRating": "A"
    }
  ]
}

웹훅 보안

진위성을 보장하기 위해 웹훅 요청에는 공유 비밀을 사용해 생성된 서명 헤더가 포함됩니다.

서명은 HMAC-SHA256을 사용해 계산됩니다
클라이언트는 페이로드를 처리하기 전에 서명을 검증해야 합니다

이렇게 하면 무단 또는 위조된 웹훅 전달을 방지할 수 있습니다.

전달 및 재시도

웹훅은 2xx 응답을 받아야 성공적으로 전달된 것으로 간주됩니다
실패한 전달은 자동으로 매시간 재시도됩니다.
이벤트는 여러 번 전달될 수 있으므로, 소비자는 멱등 처리를 구현해야 합니다

일반적인 사용 사례

SonarQube 발견 사항을 자동으로 내부 보안 대시보드에 수집합니다
품질 게이트가 실패할 때 컴플라이언스 워크플로를 트리거합니다
감사 및 공급업체 위험 검토를 위해 보안 보고서를 보관합니다
타사 시스템을 최신 코드 보안 상태와 동기화합니다

참고

SonarQube 보고서 API