SonarQube Güvenlik Raporları Deposu

Genel Bakış

SonarQube Güvenlik Raporları Deposu, Procurize AI platformunun uzun vadeli erişim ve analiz için SonarQube güvenlik raporlarını depolayan, indeksleyen ve ortaya çıkaran temel bileşenidir. Depo, otomatik alım, ürün ve sürüm bazında yapılandırılmış organizasyon ve UI ile dışa aktarma mekanizmaları aracılığıyla alt akış tüketimi için optimize edilmiştir.

Depo, SonarQube tarafından oluşturulan güvenlik raporlarını destekler ve genellikle CI/CD, uygulama güvenliği ve uyumluluk iş akışlarının bir parçası olarak kullanılır.

Desteklenen Rapor Türleri

Depo, aşağıdaki SonarQube güvenlik raporu türlerini kabul eder ve saklar:

• OWASP Top 10
• CWE Top 25

Her rapor belirli bir ürün ve ürün sürümüyle ilişkilendirilir ve filtreleme, toplama ve tarihsel analiz için gerekli meta verilerle birlikte saklanır.

Veri Modeli ve Organizasyon

Ürünler ve Gruplar

Raporlar, hiyerarşik bir model kullanılarak düzenlenir:

• Ürün

  Tek bir uygulama veya hizmeti temsil eder.

• Ürün Grubu

  İlgili ürünlerin mantıksal bir kümesini temsil eder.

Ürünler ve grup hiyerarşileri platform yapılandırmasında tanımlanır.
Yapılandırma detayları için Güvenlik raporlarını nasıl yapılandırılır sayfasına bakın.

Rapor Meta Verileri

Depolanmış her rapor aşağıdaki meta verileri içerir:

• Ürün adı
• Ürün sürümü
• Rapor türü
• Tarama yürütme tarihi
• Rapor yükleme tarihi
• Toplam zafiyet sayısı
• Genel zafiyet kategorisi

Bu meta veriler pano gösterimi, filtreleme, dışa aktarmalar ve API tabanlı entegrasyonlar için kullanılır.

Pano Temsilciliği

Güvenlik Raporları Görünümü

Depolanan raporlar Procurize AI panosunda şu konumda sunulur:

Uyumluluk → Güvenlik raporu

• Ürünler ayrı ayrı kartlar olarak görüntülenir

• Her ürün kartı, rapor türüne göre en son raporları gösteren bir tablo içerir

• Tablo aşağıdakileri özetler:

  • Tarama tarihi
  • Yükleme tarihi
  • Zafiyet sayısı
  • Genel zafiyet kategorisi

Bu görünüm, her ürün için en güncel rapor alım durumunu yansıtır.

Özet Görselleştirme

Ana Sayfa panosu, depo verilerinin toplu bir özetini gösterir:

• Çubuk grafikler, ürün sürümüne göre rapor sayısını gösterir
• Grafikler rapor türüne göre gruplanır
• Tarama kapsamı ve raporlama aktivitesine dair yüksek seviyeli bir bakış sunar

Rapor Erişimi ve Dışa Aktarma

Görüntüleme

Depodaki raporlar, tarayıcıda doğrudan görüntülenerek incelenebilir.

Dışa Aktarım Biçimleri

Aşağıdaki dışa aktarım biçimleri desteklenir:

• HTML
• PDF
• ZIP arşivi (tüm desteklenen formatları içerir)

Toplu Dışa Aktarmalar

Depo, toplu dışa aktarma işlemlerini destekler:

• Tek bir ürün için tüm raporları içeren ZIP arşivi
• Bir ürün grubu ve alt ürünleri için raporları içeren ZIP arşivi

Toplu dışa aktarmalar genellikle denetim delilleri, müşteri incelemeleri ve uyumluluk başvuruları için kullanılır.

Tarihsel Raporlar

Her rapor türü için depo tam bir tarihsel kayıt tutar.

• Önceki tüm raporlar erişilebilir durumda kalır
• Tarihsel raporlar ürün ve sürüm bazında gruplanır
• Güvenlik bulgularının uzun vadeli analizine olanak tanır

Tarihsel veriler, UI üzerinden Önceki raporların listesi görünümü ile sunulur.

Rapor Alımı

REST API Entegrasyonu

Raporlar, otomasyon için tasarlanmış bir REST tabanlı arayüz aracılığıyla depoya alınır.

• CI/CD tabanlı yüklemeleri destekler
• Tutarlı ve tekrarlanabilir rapor alımını sağlar
• Manuel dosya yönetimini ortadan kaldırır

API spesifikasyonu, SonarQube Raporları API içinde belgelenmiştir.

Hedef Kullanım Durumları

• SonarQube güvenlik raporlarının merkezi depolanması
• Sürüm‐bilinçli güvenlik trend analizi
• Uyumluluk ve denetim delili yönetimi
• CI/CD boru hatlarından otomatik alım
• Portföy‑seviyesi güvenlik görünürlüğü

Ayrıca bakınız:

• Güvenlik Raporları Nasıl Yapılandırılır
• SonarQube Raporları API

İlgili makaleler

Güvenlik Raporları Nedir?

OWASP Top 10 En Kritik Web Uygulama Güvenlik Riskleri

CWE Top 25 En Tehlikeli Yazılım Zayıflıkları