مخزن گزارشهای امنیتی SonarQube#
مرور کلی#
مخزن گزارشهای امنیتی SonarQube یک مؤلفه اساسی در بستر Procurize AI است که گزارشهای امنیتی SonarQube را برای دسترسی و تجزیه و تحلیل طولانیمدت ذخیره، فهرستبندی و در دسترس قرار میدهد. این مخزن برای دریافت خودکار، سازماندهی ساختاری بر اساس محصول و نسخه، و مصرف در سطح رابط کاربری و مکانیزمهای خروجی بهینهسازی شده است.
این مخزن از گزارشهای امنیتی تولید شده توسط SonarQube پشتیبانی میکند و بهطور معمول در جریانهای CI/CD، امنیت برنامه و کارهای پیگیری انطباق به کار گرفته میشود.
انواع گزارشهای پشتیبانیشده#
مخزن انواع گزارشهای امنیتی SonarQube زیر را میپذیرد و ذخیره میکند:
هر گزارش با یک محصول و نسخه محصول خاص مرتبط است و همراه با متادیتاهای لازم برای فیلتر، تجمیع و تحلیل تاریخی ذخیره میشود.
مدل داده و سازماندهی#
محصولات و گروهها#
گزارشها با استفاده از یک مدل سلسلهمراتبی سازماندهی میشوند:
محصول
نمایانگر یک برنامه یا سرویس مستقل است.گروه محصول
نمایانگر گروهبندی منطقی محصولات مرتبط میباشد.
محصولات و سلسلهمراتب گروه آنها در پیکربندی بستر تعریف میشوند. برای جزئیات پیکربندی، مراجعه کنید به نحوه پیکربندی گزارشهای امنیتی.
متادیتای گزارش#
هر گزارش ذخیرهشده شامل متادیتاهای زیر است:
- نام محصول
- نسخه محصول
- نوع گزارش
- تاریخ اجرای اسکن
- تاریخ بارگذاری گزارش
- تعداد کل آسیبپذیریها
- دستهبندی کلی آسیبپذیریها
این متادیتا برای رندر داشبورد، فیلتر، خروجی و یکپارچهسازیهای مبتنی بر API به کار میرود.
نمایش در داشبورد#
نمای گزارشهای امنیتی#
گزارشهای ذخیرهشده در داشبورد Procurize AI تحت مسیر زیر در دسترس هستند:
انطباق → گزارش امنیتی
- محصولات به صورت کارتهای جداگانه نمایش داده میشوند
- هر کارت محصول شامل جدولی است که جدیدترین گزارشها را بر اساس نوع گزارش نشان میدهد
- جدول خلاصهای از موارد زیر ارائه میکند:
- تاریخ اسکن
- تاریخ بارگذاری
- تعداد آسیبپذیریها
- دستهبندی کلی آسیبپذیریها
این نما، وضعیت جدیدترین دریافت گزارش برای هر محصول را نشان میدهد.
تصویر کلی#
صفحه داشبورد خانه دادههای تجمیعی مخزن را به نمایش میگذارد:
- نمودارهای ستوندار تعداد گزارشها بر پایه نسخه محصول را نشان میدهند
- نمودارها بر اساس نوع گزارش گروهبندی میشوند
- یک نمای کلی از پوشش اسکن و فعالیتهای گزارشدهی ارائه میدهند
دسترسی به گزارش و خروجی#
مشاهده#
گزارشهای ذخیرهشده در مخزن میتوانند مستقیماً در مرورگر برای بازبینی رندر شوند.
فرمتهای خروجی#
فرمتهای خروجی زیر پشتیبانی میشوند:
- HTML
- آرشیو ZIP حاوی تمام فرمتهای پشتیبانیشده
خروجیهای دستهای#
مخزن قابلیت خروجی دستهای دارد:
- آرشیو ZIP شامل تمام گزارشهای یک محصول واحد
- آرشیو ZIP شامل گزارشهای یک گروه محصول و محصولات فرزندی آن
خروجیهای دستهای معمولاً برای ارائه شواهد حسابرسی، بازبینیهای مشتری و ارائه به مراجع انطباق استفاده میشوند.
گزارشهای تاریخی#
برای هر نوع گزارش، مخزن سوابق تاریخی کاملی را حفظ میکند.
- تمام گزارشهای قبلی همچنان در دسترس باقی میمانند
- گزارشهای تاریخی بر اساس محصول و نسخه گروهبندی میشوند
- امکان تحلیل طولی یافتههای امنیتی را فراهم میسازد
دادههای تاریخی از طریق رابط کاربری در نمای فهرست گزارشهای قبلی در دسترس هستند.
دریافت گزارش#
یکپارچهسازی API REST#
گزارشها از طریق یک رابط REST‑مبنی برای خودکارسازی به مخزن منتقل میشوند.
- پشتیبانی از بارگذاریهای هدایتشده توسط CI/CD
- امکان دریافت مداوم و تکراری گزارشها
- حذف نیاز به مدیریت دستی فایلها
مشخصات API در API گزارشهای SonarQube مستند شده است.
موارد استفاده مورد انتظار#
- ذخیرهسازی متمرکز گزارشهای امنیتی SonarQube
- تحلیل روندهای امنیتی با درک نسخهها
- مدیریت شواهد حسابرسی و انطباق
- دریافت خودکار از خطوط لوله CI/CD
- دید کلی امنیتی در سطح پرتفوی