Repozytorium Raportów Bezpieczeństwa SonarQube
Przegląd
Repozytorium Raportów Bezpieczeństwa SonarQube jest kluczowym elementem platformy Procurize AI, które przechowuje, indeksuje i udostępnia raporty bezpieczeństwa SonarQube do długoterminowego dostępu i analizy. Repozytorium jest zoptymalizowane pod kątem automatycznego wprowadzania, strukturalnej organizacji według produktu i wersji oraz dalszego wykorzystania poprzez interfejs UI oraz mechanizmy eksportu.
Repozytorium obsługuje raporty bezpieczeństwa generowane przez SonarQube i jest powszechnie wykorzystywane w ramach procesów CI/CD, bezpieczeństwa aplikacji oraz zgodności.
Obsługiwane typy raportów
Repozytorium przyjmuje i przechowuje następujące typy raportów bezpieczeństwa SonarQube:
Każdy raport jest powiązany z konkretnym produktem i wersją produktu oraz jest przechowywany z metadanymi niezbędnymi do filtrowania, agregacji i analizy historycznej.
Model danych i organizacja
Produkty i grupy
Raporty są organizowane przy użyciu modelu hierarchicznego:
Produkt
Reprezentuje pojedynczą aplikację lub usługę.Grupa produktów
Reprezentuje logiczne grupowanie powiązanych produktów.
Produkty i ich hierarchia grupowa są zdefiniowane w konfiguracji platformy.
Szczegóły konfiguracji znajdziesz w Jak konfigurować raporty bezpieczeństwa.
Metadane raportu
Każdy przechowywany raport zawiera następujące metadane:
- Nazwa produktu
- Wersja produktu
- Typ raportu
- Data wykonania skanowania
- Data przesłania raportu
- Łączna liczba podatności
- Ogólna kategoria podatności
Te metadane są wykorzystywane do renderowania kokpitu, filtrowania, eksportu oraz integracji opartych na API.
Reprezentacja w kokpicie
Widok raportów bezpieczeństwa
Przechowywane raporty są udostępniane w kokpicie Procurize AI pod:
Zgodność → Raport bezpieczeństwa
Produkty są wyświetlane jako indywidualne karty
Każda karta produktu zawiera tabelę pokazującą najnowsze raporty dla każdego typu raportu
Tabela podsumowuje:
- Datę skanowania
- Datę przesłania
- Liczbę podatności
- Ogólną kategorię podatności
Ten widok odzwierciedla najnowszy stan wprowadzania raportów dla każdego produktu.
Wizualizacja podsumowania
Strona kokpitu Home wyświetla zagregowane dane repozytorium:
- Wykresy słupkowe pokazują liczbę raportów na wersję produktu
- Wykresy są grupowane wg typu raportu
- Zapewnia przegląd wysokiego poziomu pokrycia skanów i aktywności raportowania
Dostęp do raportów i eksport
Przeglądanie
Raporty przechowywane w repozytorium mogą być wyświetlane bezpośrednio w przeglądarce w celu przeglądu.
Formaty eksportu
Obsługiwane są następujące formaty eksportu:
- HTML
- Archiwum ZIP zawierające wszystkie wspierane formaty
Eksport zbiorczy
Repozytorium obsługuje operacje eksportu zbiorczego:
- Archiwum ZIP zawierające wszystkie raporty dla jednego produktu
- Archiwum ZIP zawierające raporty dla grupy produktów oraz jej produktów podrzędnych
Eksporty zbiorcze są zazwyczaj wykorzystywane jako dowody audytowe, przeglądy klienta oraz zgłoszenia zgodności.
Raporty historyczne
Dla każdego typu raportu repozytorium utrzymuje pełny zapis historyczny.
- Wszystkie poprzednie raporty pozostają dostępne
- Raporty historyczne są grupowane według produktu i wersji
- Umożliwia długoterminową analizę wyników bezpieczeństwa
Dane historyczne są udostępniane w UI poprzez widok Lista poprzednich raportów.
Wprowadzanie raportów
Integracja z REST API
Raporty są wprowadzane do repozytorium za pośrednictwem interfejsu opartego na REST, zaprojektowanego do automatyzacji.
- Obsługuje przesyłanie z CI/CD
- Umożliwia spójne, powtarzalne wprowadzanie raportów
- Eliminuje ręczne zarządzanie plikami
Specyfikacja API jest udokumentowana w API Raportów SonarQube.
Przypadki użycia
- Centralne przechowywanie raportów bezpieczeństwa SonarQube
- Analiza trendów bezpieczeństwa z uwzględnieniem wersji
- Zarządzanie dowodami zgodności i audytu
- Automatyczne wprowadzanie z pipeline’ów CI/CD
- Widoczność bezpieczeństwa na poziomie portfolio