Repositori Laporan Keselamatan SonarQube
Gambaran Keseluruhan
Repositori Laporan Keselamatan SonarQube ialah komponen teras platform Procurize AI yang menyimpan, mengindeks, dan mengekspos laporan keselamatan SonarQube untuk akses dan analisis jangka panjang. Repositori ini dioptimumkan untuk pengambilan automatik, penyusunan berstruktur mengikut produk dan versi, serta penggunaan selanjutnya melalui UI dan mekanisme eksport.
Repositori ini menyokong laporan keselamatan yang dijana oleh SonarQube dan biasanya digunakan sebagai bahagian aliran kerja CI/CD, keselamatan aplikasi, serta kepatuhan.
Jenis Laporan yang Disokong
Repositori menerima dan menyimpan jenis laporan keselamatan SonarQube berikut:
Setiap laporan dikaitkan dengan produk dan versi produk tertentu serta disimpan bersama metadata yang diperlukan untuk penapisan, pengagregatan, dan analisis sejarah.
Model Data dan Penyusunan
Produk dan Kumpulan
Laporan disusun menggunakan model hierarki:
Produk
Mewakili satu aplikasi atau perkhidmatan.
Kumpulan Produk
Mewakili kumpulan logik produk‑produk yang berkaitan.
Produk dan hierarki kumpulannya ditakrifkan dalam konfigurasi platform.
Untuk butiran konfigurasi, lihat Cara mengkonfigurasi laporan keselamatan.
Metadata Laporan
Setiap laporan yang disimpan mengandungi metadata berikut:
- Nama produk
- Versi produk
- Jenis laporan
- Tarikh pelaksanaan imbasan
- Tarikh muat naik laporan
- Jumlah bilangan kerentanan
- Kategori kerentanan keseluruhan
Metadata ini digunakan untuk rendering papan pemuka, penapisan, eksport, dan integrasi berasaskan API.
Representasi Papan Pemuka
Paparan Laporan Keselamatan
Laporan yang disimpan dipaparkan dalam papan pemuka Procurize AI di bawah:
Kepatuhan → Laporan keselamatan
Produk dipaparkan sebagai kad individu
Setiap kad produk mengandungi jadual yang menunjukkan laporan terkini bagi setiap jenis laporan
Jadual merangkum:
- Tarikh imbasan
- Tarikh muat naik
- Bilangan kerentanan
- Kategori kerentanan keseluruhan
Paparan ini mencerminkan keadaan pengambilan laporan yang paling baru bagi setiap produk.
Visualisasi Ringkasan
Halaman papan pemuka Laman Utama memaparkan data repositori yang digabungkan:
- Carta bar menunjukkan bilangan laporan per versi produk
- Carta dikelompokkan mengikut jenis laporan
- Memberikan gambaran tinggi tentang liputan imbasan dan aktiviti pelaporan
Akses dan Eksport Laporan
Paparan
Laporan yang disimpan dalam repositori dapat dipaparkan terus di pelayar untuk semakan.
Format Eksport
Format eksport berikut disokong:
- HTML
- Arkib ZIP yang mengandungi semua format yang disokong
Eksport Pukal
Repositori menyokong operasi eksport pukal:
- Arkib ZIP yang mengandungi semua laporan untuk satu produk
- Arkib ZIP yang mengandungi laporan untuk kumpulan produk dan produk anaknya
Eksport pukal biasanya digunakan sebagai bukti audit, semakan pelanggan, dan penyerahan kepatuhan.
Laporan Sejarah
Bagi setiap jenis laporan, repositori mengekalkan rekod sejarah yang lengkap.
- Semua laporan terdahulu tetap boleh diakses
- Laporan sejarah dikelompokkan mengikut produk dan versi
- Membolehkan analisis longitudinal penemuan keselamatan
Data sejarah dipaparkan melalui UI dalam paparan Senarai laporan terdahulu.
Pengambilan Laporan
Integrasi API REST
Laporan diambil ke dalam repositori melalui antara muka berasaskan REST yang direka untuk automasi.
- Menyokong muat naik yang dipacu CI/CD
- Memungkinkan pengambilan laporan yang konsisten dan berulang
- Menghapuskan pengurusan fail manual
Spesifikasi API didokumenkan dalam API Laporan SonarQube.
Kes Penggunaan yang Dimaksudkan
- Penyimpanan berpusat laporan keselamatan SonarQube
- Analisis trend keselamatan berasaskan versi
- Pengurusan bukti kepatuhan dan audit
- Pengambilan automatik dari saluran CI/CD
- Kebolehtelusan keselamatan pada tahap portfolio
Lihat juga:
Artikel berkaitan
OWASP Top 10 Risiko Keselamatan Aplikasi Web Paling Kritikal