SonarQube 安全报告仓库
概述
SonarQube 安全报告仓库 是 Procurize AI 平台的核心组件,用于存储、索引并公开 SonarQube 安全报告,以实现长期访问和分析。该仓库针对自动摄取、按产品和版本的结构化组织以及通过 UI 和导出机制的下游使用进行了优化。
仓库支持由 SonarQube 生成的安全报告,常作为 CI/CD、应用安全和合规工作流的一部分使用。
支持的报告类型
仓库接受并存储以下 SonarQube 安全报告类型:
每份报告都关联到特定的产品及产品版本,并随元数据一起存储,以便过滤、聚合和历史分析。
数据模型与组织
产品与分组
报告采用层次模型进行组织:
产品
表示单个应用或服务。产品分组
表示一组逻辑相关的产品。
产品及其分组层级在平台配置中定义。有关配置细节,请参阅 如何配置安全报告。
报告元数据
每份存储的报告包含以下元数据:
- 产品名称
- 产品版本
- 报告类型
- 扫描执行日期
- 报告上传日期
- 漏洞总数
- 漏洞总体类别
这些元数据用于仪表板渲染、过滤、导出以及基于 API 的集成。
仪表板展示
安全报告视图
在 Procurize AI 仪表板中,存储的报告位于:
合规 → 安全报告
- 产品以独立的 卡片 形式展示
- 每张产品卡片包含一个表格,显示每种报告类型的 最新报告
- 表格汇总:
- 扫描日期
- 上传日期
- 漏洞数量
- 漏洞总体类别
此视图反映每个产品最近一次报告摄取的状态。
汇总可视化
首页 仪表板页面展示仓库数据的聚合视图:
- 条形图显示 每个产品版本的报告数量
- 图表按 报告类型 分组
- 提供扫描覆盖率和报告活动的高层概览
报告访问与导出
查看
仓库中的报告可以直接在浏览器中渲染以供审阅。
导出格式
支持以下导出格式:
- HTML
- 包含所有支持格式的 ZIP 压缩包
批量导出
仓库支持批量导出操作:
- 包含单个产品所有报告的 ZIP 压缩包
- 包含产品分组及其子产品报告的 ZIP 压缩包
批量导出通常用于审计证据、客户审查和合规提交。
历史报告
针对每种报告类型,仓库保留完整的历史记录。
- 所有之前的报告仍可访问
- 历史报告按产品和版本分组
- 支持对安全发现进行纵向分析
历史数据可通过 UI 中的 先前报告列表 视图查看。
报告摄入
REST API 集成
报告通过面向自动化的 REST 接口摄入仓库。
- 支持 CI/CD 驱动的上传
- 实现一致、可重复的报告摄入
- 消除手动文件管理
API 规范详见 SonarQube 报告 API。
预期使用场景
- 集中存储 SonarQube 安全报告
- 基于版本的安全趋势分析
- 合规与审计证据管理
- 来自 CI/CD 流水线的自动摄入
- 投资组合层面的安全可视性
相关链接
相关文档
到顶部