Úložiště bezpečnostních reportů SonarQube#
Přehled#
Úložiště bezpečnostních reportů SonarQube je základní komponentou platformy Procurize AI, která ukládá, indexuje a zpřístupňuje bezpečnostní reporty SonarQube pro dlouhodobý přístup a analýzu. Úložiště je optimalizováno pro automatizované ingestování, strukturovanou organizaci podle produktu a verze a následnou konzumaci přes UI i exportní mechanismy.
Úložiště podporuje bezpečnostní reporty generované SonarQube a běžně se používá jako součást CI/CD, aplikací bezpečnosti a workflow souvisejících s dodržováním předpisů.
Podporované typy reportů#
Úložiště přijímá a ukládá následující typy bezpečnostních reportů SonarQube:
Každý report je spojen s konkrétním produktem a verzí produktu a je uložen s metadaty potřebnými pro filtrování, agregaci a historickou analýzu.
Datový model a organizace#
Produkty a skupiny#
Reporty jsou organizovány pomocí hierarchického modelu:
Produkt
Reprezentuje konkrétní aplikaci nebo službu.Skupina produktů
Reprezentuje logické seskupení souvisejících produktů.
Produkty a jejich hierarchii skupin definují v konfiguraci platformy.
Pro podrobnosti o konfiguraci viz Jak konfigurovat bezpečnostní reporty.
Metadata reportu#
Každý uložený report obsahuje následující metadata:
- Název produktu
- Verze produktu
- Typ reportu
- Datum provedení skenu
- Datum nahrání reportu
- Celkový počet zranitelností
- Celková kategorie zranitelností
Tato metadata jsou používána pro vykreslování dashboardu, filtrování, exporty a integrace řízené API.
Zobrazení na dashboardu#
Zobrazení bezpečnostních reportů#
Uložené reporty jsou zpřístupněny v dashboardu Procurize AI pod:
Soulad → Bezpečnostní report
Produkty jsou zobrazeny jako jednotlivé karty
Každá karta produktu obsahuje tabulku zobrazující nejnovější reporty podle typu reportu
Tabulka shrnuje:
- Datum skenu
- Datum nahrání
- Počet zranitelností
- Celková kategorie zranitelností
Toto zobrazení odráží nejaktuálnější stav ingestování reportů pro každý produkt.
Souhrnná vizualizace#
Stránka dashboardu Domů zobrazuje agregovaná data úložiště:
- Sloupcové grafy ukazují počet reportů podle verze produktu
- Grafy jsou seskupeny podle typu reportu
- Poskytuje přehled o pokrytí skenováním a aktivitě reportování
Přístup k reportům a export#
Zobrazení#
Reporty uložené v úložišti lze přímo v prohlížeči zobrazit k přezkoumání.
Exportní formáty#
Podporované exportní formáty:
- HTML
- ZIP archiv obsahující všechny podporované formáty
Hromadné exporty#
Úložiště podporuje hromadné exportní operace:
- ZIP archiv obsahující všechny reporty pro jeden produkt
- ZIP archiv obsahující reporty pro skupinu produktů a její podřízené produkty
Hromadné exporty se typicky používají jako důkaz pro audity, přezkoumání zákazníky a podání související s dodržováním předpisů.
Historické reporty#
Pro každý typ reportu úložiště udržuje kompletní historický záznam.
- Všechny předchozí reporty zůstávají přístupné
- Historické reporty jsou seskupeny podle produktu a verze
- Umožňují longitudinální analýzu bezpečnostních zjištění
Historická data jsou zpřístupněna přes UI pomocí zobrazení Seznam předchozích reportů.
Ingestování reportů#
REST API integrace#
Reporty jsou ingestovány do úložiště přes rozhraní založené na REST API určené pro automatizaci.
- Podporuje nahrávání řízené CI/CD
- Umožňuje konzistentní, opakovatelné ingestování reportů
- Eliminujte ruční správu souborů
Specifikace API je zdokumentována v SonarQube Reports API.
Očekávané případy použití#
- Centralizované úložiště bezpečnostních reportů SonarQube
- Analýza trendů bezpečnosti s ohledem na verze
- Správa důkazů pro compliance a audit
- Automatizované ingestování z CI/CD pipeline
- Viditelnost bezpečnosti na úrovni portfolia
Viz také:#
Související články#
OWASP Top 10 nejkritičtějších bezpečnostních rizik webových aplikací (2025)