وبهوکهای گزارشگیری SonarQube#
نحوه کار وبهوکهای SonarQube در Procurize AI را بیاموزید، شامل راهاندازی، ساختار بارگذاری، اعتبارسنجی امنیتی و رفتار بازآزمایی.
مرور کلی#
وبهوکهای Procurize به سیستمهای خارجی امکان دریافت اعلانها را وقتی گزارشهای جدید SonarQube وارد یا بروزرسانی میشوند، میدهند.
پیکربندی وبهوکها#
وبهوکها میتوانند در پنل تنظیمات سازمان، بخش گزارشهای امنیتی در https://dashboard.procurize.ai اضافه یا ویرایش شوند. لطفاً توجه داشته باشید که دسترسی به پنل تنظیمات نیاز به مجوز دارد و دسترسی به پنل تنظیمات سازمان نیازمند نقش کاربری حداقل مدیر (Administrator) در همان سازمان است.
برای بررسی وبهوکها میتوانید از سرویسهای آنلاین مشهور مانند https://webhook-test.com استفاده کنید.
بارگذاری وبهوک#
رویدادهای وبهوک بهصورت درخواستهای HTTP POST با یک payload JSON تحویل داده میشوند.
نمونه Payload
{
"organizationId": "00000000-0000-0000-0000-000000000001",
"reports": [
{
"projectName": "Test product",
"id": "00000000-0000-0000-0000-000000000002",
"reportType": "CWE Top 25",
"reportVersion": 2024,
"projectVersion": "1.0",
"date": "2025-12-17T09:05:48.5946432+00:00",
"uploadDate": "2025-12-17T09:05:48.5946432+00:00",
"vulnerabilitiesCount": 0,
"securityRating": "A"
}
]
}
امنیت وبهوک#
برای اطمینان از صحت، درخواستهای وبهوک شامل یک هدر امضا هستند که با استفاده از یک راز مشترک تولید میشود.
- امضا با HMAC‑SHA256 محاسبه میشود
- کلاینتها باید قبل از پردازش payload، امضا را بررسی کنند
این مانع از تحویلهای غیرمجاز یا جعلشده وبهوک میشود.
تحویل و تلاشهای مجدد#
- وبهوکها انتظار دارند پاسخ
2xxبازگردانده شود تا تحویل موفقیتآمیز در نظر گرفته شود - تحویلهای ناموفق بهصورت خودکار هر ساعت یک بار مجدداً تلاش میشوند.
- ممکن است رویدادها بیش از یک بار تحویل شوند؛ مصرفکنندگان باید پردازش ایندامپوتنت را پیادهسازی کنند
موارد استفاده معمول#
- بهصورت خودکار یافتههای SonarQube را به داشبوردهای امنیتی داخلی وارد کنید
- هنگام عدم عبور از گیتهای کیفیت، جریانهای کاری تطبیق را فعال کنید
- گزارشهای امنیتی را برای حسابرسیها و بررسی ریسک فروشندگان بایگانی کنید
- سیستمهای طرفثالث را همگام با جدیدترین وضعیت امنیت کد نگه دارید