Веб‑хуки отчётов SonarQube

Узнайте, как работают веб‑хуки SonarQube в Procurize AI, включая настройку, структуру полезной нагрузки, проверку безопасности и поведение при повторных попытках.

Обзор

Веб‑хуки Procurize позволяют внешним системам получать уведомления, когда новые отчёты SonarQube импортированы или обновлены.

Настройка веб‑хуков

Веб‑хуки могут быть добавлены или отредактированы в панели настроек организации, в разделе Отчёты безопасности по адресу https://dashboard.procurize.ai.
Обратите внимание, что доступ к панели настроек требует авторизации, а доступ к панели настроек организации доступен только пользователям с ролью не менее «Администратор» в этой организации.

Для проверки веб‑хуков вы можете воспользоваться популярными онлайн‑сервисами, например https://webhook-test.com.

Полезная нагрузка веб‑хука

События веб‑хуков доставляются как HTTP POST‑запросы с JSON‑полезной нагрузкой.

Пример полезной нагрузки

{
  "organizationId": "00000000-0000-0000-0000-000000000001",
  "reports": [
    {
      "projectName": "Test product",
      "id": "00000000-0000-0000-0000-000000000002",
      "reportType": "CWE Top 25",
      "reportVersion": 2024,
      "projectVersion": "1.0",
      "date": "2025-12-17T09:05:48.5946432+00:00",
      "uploadDate": "2025-12-17T09:05:48.5946432+00:00",
      "vulnerabilitiesCount": 0,
      "securityRating": "A"
    }
  ]
}

Безопасность веб‑хука

Чтобы обеспечить подлинность, запросы веб‑хуков включают заголовок подписи, сформированный с использованием общего секрета.

• Подпись вычисляется с помощью HMAC‑SHA256
• Клиенты должны проверять подпись перед обработкой полезной нагрузки

Это предотвращает неавторизованные или подделанные доставки веб‑хуков.

Доставка и повторные попытки

• Веб‑хуки считаются успешно доставленными, если получают ответ 2xx
• Неудачные доставки автоматически повторяются каждый час
• События могут быть доставлены более одного раза; потребители должны реализовать идемпотентную обработку

Типичные сценарии использования

• Автоматический импорт находок SonarQube во внутренние панели мониторинга безопасности
• Запуск рабочих процессов соответствия, когда качества́нные ворота не пройдены
• Архивирование отчётов безопасности для аудитов и оценок рисков поставщиков
• Синхронизация сторонних систем с актуальным состоянием безопасности кода

Смотрите также:

• API отчётов SonarQube

Связанные статьи

• Что такое отчёты безопасности?
• Репозиторий отчётов безопасности
• Как настроить отчёты безопасности