SonarQube 보안 보고서 저장소
개요
SonarQube 보안 보고서 저장소는 Procurize AI 플랫폼의 핵심 구성 요소로, SonarQube 보안 보고서를 장기 보관 및 분석을 위해 저장, 인덱싱 및 노출합니다. 이 저장소는 자동 수집, 제품 및 버전별 구조화된 조직, UI 및 내보내기 메커니즘을 통한 하위 소비에 최적화되어 있습니다.
이 저장소는 SonarQube에서 생성된 보안 보고서를 지원하며, CI/CD, 애플리케이션 보안 및 컴플라이언스 워크플로의 일부로 일반적으로 사용됩니다.
지원되는 보고서 유형
저장소는 다음 SonarQube 보안 보고서 유형을 수용하고 저장합니다:
각 보고서는 특정 제품 및 제품 버전과 연계되며, 필터링, 집계 및 과거 분석에 필요한 메타데이터와 함께 저장됩니다.
데이터 모델 및 조직
제품 및 그룹
보고서는 계층적 모델을 사용하여 조직됩니다:
제품
개별 애플리케이션 또는 서비스에 해당합니다.
제품 그룹
관련된 제품들을 논리적으로 묶은 그룹에 해당합니다.
제품과 그 그룹 계층 구조는 플랫폼 구성에 정의됩니다. 구성 상세 내용은 보안 보고서 구성 방법을 참조하십시오.
보고서 메타데이터
각 저장된 보고서는 다음 메타데이터를 포함합니다:
- 제품 이름
- 제품 버전
- 보고서 유형
- 스캔 실행 일자
- 보고서 업로드 일자
- 전체 취약점 수
- 전체 취약점 카테고리
이 메타데이터는 대시보드 표시, 필터링, 내보내기 및 API 기반 통합에 활용됩니다.
대시보드 표시
보안 보고서 뷰
저장된 보고서는 Procurize AI 대시보드에서 다음 경로로 노출됩니다:
Compliance → Security report
각 제품은 개별 카드 형태로 표시됩니다.
각 제품 카드는 보고서 유형별 최신 보고서를 나타내는 표를 포함합니다.
표에는 다음이 요약됩니다:
- 스캔 일자
- 업로드 일자
- 취약점 수
- 전체 취약점 카테고리
이 뷰는 각 제품에 대한 가장 최신 보고서 수집 상태를 보여줍니다.
요약 시각화
Home 대시보드 페이지에서는 저장소 데이터를 집계하여 보여줍니다:
- 막대 차트를 사용해 제품 버전별 보고서 수를 표시합니다.
- 차트는 보고서 유형별로 그룹화됩니다.
- 스캔 범위와 보고 활동에 대한 고레벨 개요를 제공합니다.
보고서 접근 및 내보내기
보기
저장소에 보관된 보고서는 브라우저에서 직접 렌더링되어 검토할 수 있습니다.
내보내기 형식
다음 내보내기 형식을 지원합니다:
- HTML
- ZIP 아카이브 – 모든 지원 형식을 포함
대량 내보내기
저장소는 대량 내보내기 작업을 지원합니다:
- 단일 제품에 대한 모든 보고서를 포함한 ZIP 아카이브
- 제품 그룹 및 하위 제품들의 보고서를 포함한 ZIP 아카이브
대량 내보내기는 감사 증거, 고객 검토 및 컴플라이언스 제출 등에 일반적으로 사용됩니다.
과거 보고서
각 보고서 유형에 대해 저장소는 완전한 과거 기록을 유지합니다.
- 모든 이전 보고서는 계속 접근 가능
- 과거 보고서는 제품 및 버전별로 그룹화
- 보안 발견 사항에 대한 장기 분석을 가능하게 함
과거 데이터는 UI의 이전 보고서 목록 뷰를 통해 노출됩니다.
보고서 수집
REST API 연동
보고서는 자동화를 위해 설계된 REST 기반 인터페이스를 통해 저장소에 수집됩니다.
- CI/CD 기반 업로드 지원
- 일관되고 재현 가능한 보고서 수집 구현
- 수동 파일 관리 제거
API 사양은 SonarQube 보고서 API에 문서화되어 있습니다.
주요 사용 사례
- SonarQube 보안 보고서의 중앙 집중식 저장
- 버전 인식 보안 추세 분석
- 컴플라이언스 및 감사 증거 관리
- CI/CD 파이프라인을 통한 자동 수집
- 포트폴리오 수준의 보안 가시성