คลังรายงานความปลอดภัย SonarQube
ภาพรวม
คลังรายงานความปลอดภัย SonarQube เป็นส่วนสำคัญของแพลตฟอร์ม Procurize AI ที่ทำหน้าที่เก็บ, ดัชนี, และเผยแพร่รายงานความปลอดภัยของ SonarQube เพื่อการเข้าถึงและวิเคราะห์ในระยะยาว คลังนี้ได้รับการปรับให้เหมาะกับการรับข้อมูลอัตโนมัติ, การจัดระเบียบเชิงโครงสร้างตามผลิตภัณฑ์และเวอร์ชัน, และการใช้ประโยชน์ต่อเนื่องผ่าน UI และกลไกการส่งออก
คลังนี้รองรับรายงานความปลอดภัยที่สร้างโดย SonarQube และมักใช้เป็นส่วนหนึ่งของกระบวนการ CI/CD, ความปลอดภัยของแอปพลิเคชัน, และการปฏิบัติตามมาตรฐาน
ประเภทรายงานที่รองรับ
คลังรับและเก็บประเภทรายงานความปลอดภัยของ SonarQube ต่อไปนี้:
แต่ละรายงานจะเชื่อมโยงกับผลิตภัณฑ์และเวอร์ชันของผลิตภัณฑ์เฉพาะ และจะเก็บพร้อมกับเมทาดาต้าที่จำเป็นสำหรับการกรอง, การสรุป, และการวิเคราะห์เชิงประวัติ
โมเดลข้อมูลและการจัดระเบียบ
ผลิตภัณฑ์และกลุ่มผลิตภัณฑ์
รายงานถูกจัดระเบียบโดยใช้โมเดลระดับลำดับชั้น:
ผลิตภัณฑ์
แทนแอปพลิเคชันหรือบริการแต่ละตัว
กลุ่มผลิตภัณฑ์
แทนการจัดกลุ่มเชิงตรรกะของผลิตภัณฑ์ที่เกี่ยวข้องกัน
ผลิตภัณฑ์และลำดับชั้นของกลุ่มจะถูกกำหนดในไฟล์กำหนดค่าของแพลตฟอร์ม สำหรับรายละเอียดการกำหนดค่า ดูที่ วิธีการกำหนดค่ารายงานความปลอดภัย
เมทาดาต้ารายงาน
แต่ละรายงานที่เก็บไว้จะมีเมทาดาต้าดังต่อไปนี้:
- ชื่อผลิตภัณฑ์
- เวอร์ชันผลิตภัณฑ์
- ประเภทรายงาน
- วันที่ทำการสแกน
- วันที่อัปโหลดรายงาน
- จำนวนช่องโหว่ทั้งหมด
- ประเภทช่องโหว่โดยรวม
เมทาดาต้านี้ใช้สำหรับการแสดงผลบนแดชบอร์ด, การกรอง, การส่งออก, และการบูรณาการผ่าน API
การแสดงผลบนแดชบอร์ด
มุมมองรายงานความปลอดภัย
รายงานที่เก็บไว้จะแสดงบนแดชบอร์ด Procurize AI ภายใต้:
Compliance → Security report
ผลิตภัณฑ์แต่ละตัวแสดงเป็น การ์ด แยกกัน
การ์ดของแต่ละผลิตภัณฑ์จะมีตารางแสดง รายงานล่าสุด ของแต่ละประเภท
ตารางสรุปข้อมูล:
- วันที่สแกน
- วันที่อัปโหลด
- จำนวนช่องโหว่
- ประเภทช่องโหว่โดยรวม
มุมมองนี้สะท้อนสภาพการรับข้อมูลรายงานล่าสุดของแต่ละผลิตภัณฑ์
การแสดงผลสรุป
หน้าแดชบอร์ด Home แสดงข้อมูลสรุปของคลัง:
- แผนภูมิแท่งแสดง จำนวนรายงานต่อแต่ละเวอร์ชันของผลิตภัณฑ์
- แผนภูมิจัดกลุ่มตาม ประเภทรายงาน
- ให้ภาพรวมระดับสูงของการครอบคลุมการสแกนและกิจกรรมการรายงาน
การเข้าถึงและการส่งออกรายงาน
การดู
รายงานที่เก็บในคลังสามารถแสดงโดยตรงในเบราว์เซอร์เพื่อการตรวจสอบ
รูปแบบการส่งออก
รองรับรูปแบบการส่งออกต่อไปนี้:
- HTML
- ไฟล์ ZIP ที่บรรจุทุกรูปแบบที่รองรับ
การส่งออกจำนวนมาก
คลังรองรับการส่งออกเป็นชุดใหญ่:
- ไฟล์ ZIP ที่บรรจุรายงานทั้งหมดของผลิตภัณฑ์เดียว
- ไฟล์ ZIP ที่บรรจุรายงานของกลุ่มผลิตภัณฑ์และผลิตภัณฑ์ลูกของมัน
การส่งออกจำนวนมากมักใช้เป็นหลักฐานการตรวจสอบ, การทบทวนของลูกค้า, และการส่งเอกสารการปฏิบัติตาม
รายงานประวัติศาสตร์
สำหรับแต่ละประเภทรายงาน คลังจะเก็บบันทึกประวัติอย่างสมบูรณ์
- รายงานทั้งหมดที่เคยมียังคงเข้าถึงได้
- รายงานประวัติศาสตร์ถูกจัดกลุ่มตามผลิตภัณฑ์และเวอร์ชัน
- ช่วยให้ทำการวิเคราะห์เชิงแนวโน้มของผลการตรวจพบความปลอดภัยได้ในระยะยาว
ข้อมูลประวัติเหล่านี้เปิดให้ดูผ่าน UI ในมุมมอง รายการรายงานก่อนหน้า
การรับข้อมูลรายงาน
การบูรณาการ API แบบ REST
รายงานจะถูกนำเข้ามาในคลังผ่านอินเทอร์เฟซแบบ REST ที่ออกแบบมาสำหรับการทำงานอัตโนมัติ
- รองรับการอัปโหลดจาก CI/CD
- ทำให้การรับข้อมูลรายงานเป็นไปอย่างสม่ำเสมอและทำซ้ำได้
- กำจัดความจำเป็นในการจัดการไฟล์ด้วยตนเอง
สเปค API ได้รับการอธิบายใน SonarQube Reports API
กรณีการใช้งานที่คาดหวัง
- การจัดเก็บศูนย์กลางของรายงานความปลอดภัย SonarQube
- การวิเคราะห์แนวโน้มความปลอดภัยตามเวอร์ชัน
- การจัดการหลักฐานการปฏิบัติตามและการตรวจสอบ
- การรับข้อมูลอัตโนมัติจากไลน์พาโพล CI/CD
- การมองเห็นระดับพอร์ตโฟลิโอของความปลอดภัย
ดูเพิ่มเติม:
บทความที่เกี่ยวข้อง
OWASP Top 10 ความเสี่ยงด้านความปลอดภัยเว็บแอปพลิเคชันที่สำคัญที่สุด