Сховище звітів безпеки SonarQube
Огляд
Сховище звітів безпеки SonarQube – це ключовий компонент платформи Procurize AI, який зберігає, індексує та надає звіти безпеки SonarQube для довготривалого доступу та аналізу. Сховище оптимізоване для автоматизованого інжестування, структурованої організації за продуктом та версією, а також подальшого використання через інтерфейс користувача та механізми експорту.
Сховище підтримує звіти безпеки, створені SonarQube, і зазвичай використовується в процесах CI/CD, безпеки додатків та відповідності нормативам.
Підтримувані типи звітів
Сховище приймає та зберігає такі типи звітів безпеки SonarQube:
Кожен звіт асоційований з конкретним продуктом і його версією та зберігається разом із метаданими, необхідними для фільтрації, агрегації та історичного аналізу.
Модель даних та організація
Продукти та групи
Звіти організовуються за ієрархічною моделлю:
Продукт
Представляє окремий додаток або сервіс.Група продуктів
Представляє логічне об’єднання пов’язаних продуктів.
Продукти та їх ієрархію груп визначено у конфігурації платформи.
Для деталей конфігурації дивіться Як налаштувати звіти безпеки.
Метадані звіту
Кожен збережений звіт містить такі метадані:
- Назва продукту
- Версія продукту
- Тип звіту
- Дата виконання сканування
- Дата завантаження звіту
- Загальна кількість уразливостей
- Категорія уразливості в цілому
Ці метадані використовуються для відображення на панелі, фільтрації, експорту та інтеграції через API.
Відображення на панелі
Перегляд звітів безпеки
Збережені звіти доступні на панелі Procurize AI у розділі:
Compliance → Security report
Продукти відображаються у вигляді окремих карток
Кожна картка продукту містить таблицю з останніми звітами за типом звіту
У таблиці підсумовано:
- Дата сканування
- Дата завантаження
- Кількість уразливостей
- Категорія уразливості в цілому
Таким чином, відображається поточний стан інжестування останніх звітів для кожного продукту.
Оглядова візуалізація
На головній сторінці панелі Home показані агреговані дані сховища:
- Стовпчикові діаграми демонструють кількість звітів за версією продукту
- Діаграми згруповані за типом звіту
- Надають високорівневий огляд охоплення скануванням та активності звітування
Доступ до звітів та експорт
Перегляд
Звіти, збережені у сховищі, можна безпосередньо відобразити у браузері для перегляду.
Формати експорту
Підтримуються такі формати експорту:
- HTML
- ZIP‑архів, що містить усі підтримувані формати
Масові експорти
Сховище підтримує масові операції експорту:
- ZIP‑архів, що містить усі звіти для одного продукту
- ZIP‑архів, що містить звіти для групи продуктів та її дочірніх продуктів
Масові експорти, зазвичай, використовуються як доказ аудиту, для огляду клієнтами та подачі у відповідності.
Історичні звіти
Для кожного типу звіту сховище зберігає повний історичний реєстр.
- Усі попередні звіти залишаються доступними
- Історичні звіти згруповані за продуктом та версією
- Дозволяє довгостроковий аналіз виявлених уразливостей
Історичні дані доступні через інтерфейс користувача у вигляді списку попередніх звітів.
Інжестування звітів
Інтеграція через REST API
Звіти інжестуються у сховище через REST‑орієнтований інтерфейс, розрахований на автоматизацію.
- Підтримка завантажень у процесах CI/CD
- Забезпечує послідовне, повторюване інжестування звітів
- Виключає ручне керування файлами
Специфікація API задокументована у SonarQube Reports API.
Передбачувані сценарії використання
- Централізоване зберігання звітів безпеки SonarQube
- Аналіз тенденцій безпеки з урахуванням версій
- Управління доказами відповідності та аудиту
- Автоматичне інжестування зі CI/CD‑конвеєрів
- Видимість безпеки на рівні портфоліо
Дивіться також:
Пов’язані статті
OWASP Top 10 найкритичніших ризиків безпеки веб‑додатків
CWE Top 25 найнебезпечніших слабкостей програмного забезпечення