Repozitár bezpečnostných správ SonarQube

Prehľad

Repozitár bezpečnostných správ SonarQube je ústrednou súčasťou platformy Procurize AI, ktorá ukladá, indexuje a zverejňuje bezpečnostné správy SonarQube pre dlhodobý prístup a analýzu. Repozitár je optimalizovaný pre automatizovanú ingestiu, štruktúrovanú organizáciu podľa produktu a verzie a následnú spotrebu prostredníctvom používateľského rozhrania a exportných mechanizmov.

Repozitár podporuje bezpečnostné správy generované SonarQube a bežne sa využíva v rámci CI/CD, aplikáciovej bezpečnosti a súladových pracovných postupov.

Podporované typy správ

Repozitár prijíma a ukladá nasledujúce typy bezpečnostných správ SonarQube:

• OWASP Top 10
• CWE Top 25

Každá správa je spojená s konkrétnym produktom a verziou produktu a je uložená s metaúdajmi potrebnými na filtrovanie, agregáciu a historickú analýzu.

Dátový model a organizácia

Produkty a skupiny

Správy sú organizované pomocou hierarchického modelu:

• Produkt

  Reprezentuje konkrétnu aplikáciu alebo službu.

• Skupina produktov

  Reprezentuje logickú skupinu súvisiacich produktov.

Produkty a ich hierarchiu skupín definujú v konfigurácii platformy.
Podrobnosti o konfigurácii nájdete v článku Ako konfigurovať bezpečnostné správy.

Metaúdaje správy

Každá uložená správa obsahuje nasledujúce metaúdaje:

• Názov produktu
• Verzia produktu
• Typ správy
• Dátum vykonania skenu
• Dátum nahratia správy
• Celkový počet zraniteľností
• Celková kategória zraniteľností

Tieto metaúdaje sa používajú na vykresľovanie nástenky, filtrovanie, exporty a integrácie založené na API.

Zobrazenie na nástenke

Zobrazenie bezpečnostných správ

Uložené správy sú zverejňované v nástenke Procurize AI pod:

Compliance → Security report

• Produkty sa zobrazujú ako individuálne karty

• Každá karta produktu obsahuje tabuľku zobrazujúcu najnovšie správy podľa typu správy

• Tabuľka sumarizuje:

  • Dátum skenu
  • Dátum nahratia
  • Počet zraniteľností
  • Celkovú kategóriu zraniteľností

Toto zobrazenie odráža najaktuálnejší stav ingestie správ pre každý produkt.

Súhrnná vizualizácia

Na stránke Domov nástenky sa zobrazujú agregované údaje z repozitára:

• Stĺpcové grafy ukazujú počet správ na verziu produktu
• Grafy sú zoskupené podľa typu správy
• Poskytuje prehľad o pokrytí skenovania a aktivite reportovania

Prístup k správam a export

Prezeranie

Správy uložené v repozitári môžu byť priamo v prehliadači zobrazené na kontrolu.

Exportné formáty

Sú podporované nasledujúce exportné formáty:

• HTML
• PDF
• ZIP archív obsahujúci všetky podporované formáty

Hromadné exporty

Repozitár podporuje hromadné exportné operácie:

• ZIP archív so všetkými správami pre jeden produkt
• ZIP archív so správami pre skupinu produktov a ich podriadené produkty

Hromadné exporty sa typicky používajú na auditné dôkazy, recenzie zákazníkov a súladové podania.

Historické správy

Pre každý typ správy repozitár udržiava úplný historický záznam.

• Všetky predchádzajúce správy zostávajú prístupné
• Historické správy sú zoskupené podľa produktu a verzie
• Umožňujú longitudinálnu analýzu bezpečnostných zistení

Historické údaje sú zverejnené v UI prostredníctvom zobrazenia Zoznam predchádzajúcich správ.

Ingestia správ

Integrácia REST API

Správy sa ingestujú do repozitára prostredníctvom REST‑based rozhrania navrhnutého pre automatizáciu.

• Podporuje nahrávanie z CI/CD
• Umožňuje konzistentnú, opakovateľnú ingestiu správ
• Eliminovať manuálnu správu súborov

Špecifikácia API je zdokumentovaná v API správ SonarQube.

Očakávané použitie

• Centralizované úložisko bezpečnostných správ SonarQube
• Trendová analýza bezpečnosti s ohľadom na verzie
• Správa dôkazov pre súlad a audit
• Automatizovaná ingestia z CI/CD pipeline
• Viditeľnosť bezpečnosti na úrovni portfólia

Pozri tiež:

• Ako konfigurovať bezpečnostné správy
• API správ SonarQube

Súvisiace články

Čo sú bezpečnostné správy?

OWASP Top 10 Najkritickejšie riziká webových aplikácií

CWE Top 25 Najnebezpečnejšie slabiny softvéru