Kho lưu trữ Báo cáo Bảo mật SonarQube

Tổng quan

Kho lưu trữ Báo cáo Bảo mật SonarQube là một thành phần cốt lõi của nền tảng Procurize AI, chịu trách nhiệm lưu trữ, lập chỉ mục và cung cấp các báo cáo bảo mật SonarQube để truy cập và phân tích lâu dài. Kho này được tối ưu hóa cho việc nhập tự động, tổ chức có cấu trúc theo sản phẩm và phiên bản, và tiêu thụ ở downstream thông qua giao diện người dùng và cơ chế xuất dữ liệu.

Kho lưu trữ hỗ trợ các báo cáo bảo mật được tạo ra bởi SonarQube và thường được dùng như một phần của quy trình CI/CD, bảo mật ứng dụng và tuân thủ.

Các loại báo cáo được hỗ trợ

Kho lưu trữ chấp nhận và lưu trữ các loại báo cáo bảo mật SonarQube sau:

• OWASP Top 10
• CWE Top 25

Mỗi báo cáo được liên kết với một sản phẩm và phiên bản sản phẩm cụ thể và được lưu cùng với siêu dữ liệu cần thiết để lọc, tổng hợp và phân tích lịch sử.

Mô hình dữ liệu và tổ chức

Sản phẩm và Nhóm

Báo cáo được tổ chức dựa trên mô hình phân cấp:

• Sản phẩm

  Đại diện cho một ứng dụng hoặc dịch vụ riêng lẻ.

• Nhóm sản phẩm

  Đại diện cho một nhóm logic các sản phẩm liên quan.

Các sản phẩm và cấu trúc nhóm của chúng được định nghĩa trong cấu hình nền tảng.
Đối với chi tiết cấu hình, xem Cách cấu hình báo cáo bảo mật.

Siêu dữ liệu báo cáo

Mỗi báo cáo được lưu trữ bao gồm các siêu dữ liệu sau:

• Tên sản phẩm
• Phiên bản sản phẩm
• Loại báo cáo
• Ngày thực hiện quét
• Ngày tải lên báo cáo
• Tổng số lỗ hổng
• Phân loại lỗ hổng tổng thể

Các siêu dữ liệu này được dùng để hiển thị trên bảng điều khiển, lọc, xuất và tích hợp qua API.

Cách hiển thị trên bảng điều khiển

Giao diện Báo cáo Bảo mật

Các báo cáo đã lưu được hiển thị trong bảng điều khiển Procurize AI dưới:

Tuân thủ → Báo cáo bảo mật

• Các sản phẩm được hiển thị dưới dạng thẻ riêng lẻ

• Mỗi thẻ sản phẩm chứa một bảng tóm tắt các báo cáo mới nhất theo loại báo cáo

• Bảng tóm tắt bao gồm:

  • Ngày quét
  • Ngày tải lên
  • Số lượng lỗ hổng
  • Phân loại lỗ hổng tổng thể

Giao diện này phản ánh trạng thái nhập báo cáo mới nhất của mỗi sản phẩm.

Trực quan hoá tóm tắt

Trang bảng điều khiển Trang chủ hiển thị dữ liệu tổng hợp của kho:

• Biểu đồ cột hiển thị số báo cáo theo phiên bản sản phẩm
• Các biểu đồ được nhóm theo loại báo cáo
• Cung cấp cái nhìn tổng quan về phạm vi quét và hoạt động báo cáo

Truy cập và xuất báo cáo

Xem

Các báo cáo trong kho có thể được hiển thị trực tiếp trong trình duyệt để xem xét.

Định dạng xuất

Các định dạng xuất sau được hỗ trợ:

• HTML
• PDF
• Tập tin ZIP chứa tất cả các định dạng được hỗ trợ

Xuất hàng loạt

Kho hỗ trợ các thao tác xuất hàng loạt:

• Tập tin ZIP chứa tất cả báo cáo cho một sản phẩm duy nhất
• Tập tin ZIP chứa báo cáo cho một nhóm sản phẩm và các sản phẩm con của nó

Xuất hàng loạt thường được dùng làm bằng chứng kiểm toán, đánh giá khách hàng và nộp hồ sơ tuân thủ.

Báo cáo lịch sử

Đối với mỗi loại báo cáo, kho lưu giữ một bản ghi lịch sử đầy đủ.

• Tất cả các báo cáo trước đây vẫn có thể truy cập
• Báo cáo lịch sử được nhóm theo sản phẩm và phiên bản
• Hỗ trợ phân tích xu hướng bảo mật theo thời gian

Dữ liệu lịch sử được hiển thị qua giao diện Danh sách các báo cáo trước đây.

Nhập báo cáo

Tích hợp API REST

Báo cáo được nhập vào kho qua giao diện REST được thiết kế cho tự động hóa.

• Hỗ trợ tải lên từ quy trình CI/CD
• Đảm bảo nhập báo cáo nhất quán, có thể lặp lại
• Loại bỏ việc quản lý tệp tin thủ công

Các thông số API được mô tả trong API Báo cáo SonarQube.

Trường hợp sử dụng dự kiến

• Lưu trữ trung tâm các báo cáo bảo mật SonarQube
• Phân tích xu hướng bảo mật dựa trên phiên bản
• Quản lý bằng chứng kiểm toán và tuân thủ
• Nhập tự động từ các pipeline CI/CD
• Tầm nhìn bảo mật ở cấp độ danh mục sản phẩm

Xem thêm:

• Cách cấu hình báo cáo bảo mật
• API Báo cáo SonarQube

Các bài viết liên quan

What are Security Reports?

OWASP Top 10 Most Critical Web Application Security Risks

CWE Top 25 Most Dangerous Software Weaknesses