什么是安全报告?
概览
安全报告 是由应用程序安全扫描工具生成的结构化输出,用于识别、分类并汇总源代码和软件组件中的潜在漏洞。在 Procurize AI 中,安全报告主要由 SonarQube 生成,并遵循业界认可的漏洞标准。
这些报告提供了一种一致、机器可读的方式来评估各产品及其不同版本的应用安全姿态。
安全报告的内容
典型的安全报告包括:
- 已识别的安全漏洞
- 漏洞的分类和类别
- 严重性或风险指示器
- 受影响的组件或代码路径(出于安全考虑,公共报告中会被排除)
- 扫描执行的元数据(工具、日期、版本)
这些信息帮助团队跟踪安全风险、优先处理修复工作并展示合规性。
支持的安全标准
Procurize AI 支持与广泛使用的标准保持一致的 SonarQube 安全报告,包括:
- OWASP Top 10 — 常见的 Web 应用安全风险
- CWE Top 25 — 最危险的软件缺陷
这些标准为开发者、安全团队和审计员提供了统一的语言。
安全报告在 Procurize AI 中的角色
在 Procurize AI 中,安全报告:
- 通过 SonarQube 报告 API 程序化上传
- 存储在集中式的 安全报告仓库 中
- 按产品和版本组织
- 通过仪表板、导出和集成方式对外提供
安全报告是合规报告、安全监控和自动化工作流的基础数据层。
关联文章
到顶部