SonarQube Saugumo Ataskaitų Saugykla#
Apžvalga#
SonarQube Saugumo Ataskaitų Saugykla yra pagrindinis Procurize AI platformos komponentas, kuris saugo, indeksuoja ir pateikia SonarQube saugumo ataskaitas ilgalaikei prieigai ir analizei. Saugykla sukurta automatizuotam įkėlimui, struktūruotam organizavimui pagal produktą ir versiją, bei vėlesniam naudojimui per vartotojo sąsają ir eksporto mechanizmus.
Saugykla palaiko saugumo ataskaitas, kurios generuojamos SonarQube, ir dažnai naudojama CI/CD, programų saugumo ir atitikties procesų metu.
Palaikomi Ataskaitų Tipai#
Saugykla priima ir saugo šiuos SonarQube saugumo ataskaitų tipus:
Kiekviena ataskaita susiejama su konkrečiu produktu ir produkto versija, bei saugoma kartu su metaduomenimis, reikalingais filtravimui, agregavimui ir istoriniai analizėms.
Duomenų Modelis ir Organizavimas#
Produktai ir Grupės#
Ataskaitos organizuojamos hierarchiniu modeliu:
Produktas
Reiškia atskirą programą arba paslaugą.Produkto grupė
Reiškia logišką susijusių produktų grupavimą.
Produktų ir jų grupių hierarchija apibrėžiama platformos konfigūracijoje.
Daugiau informacijos rasite skyriuje Kaip konfigūruoti saugumo ataskaitas.
Ataskaitų Metaduomenys#
Kiekviena saugoma ataskaita turi šiuos metaduomenis:
- Produkto pavadinimas
- Produkto versija
- Ataskaitos tipas
- Skenavimo vykdymo data
- Ataskaitos įkėlimo data
- Bendras pažeidžiamumų skaičius
- Bendras pažeidžiamumo kategorija
Šie metaduomenys naudojami skydelio atvaizdavimui, filtravimui, eksporto funkcijoms ir API pagrindu integracijoms.
Skydelio Atvaizdavimas#
Saugumo Ataskaitų Vaizdas#
Saugykloje saugomos ataskaitos rodomos Procurize AI skydelyje:
Atitiktis → Saugumo ataskaita
Produktai pateikiami kaip atskiri kortelės
Kiekviena produkto kortelė rodo lentelę su naujausiomis ataskaitomis pagal ataskaitos tipą
Lentelėje pateikiama:
- Skenavimo data
- Įkėlimo data
- Pažeidžiamumų skaičius
- Bendras pažeidžiamumo kategorija
Šis vaizdas atspindi paskutinio įkėlimo būseną kiekvienam produktui.
Santraukos Vizualizacija#
Pagrindinis skydelio puslapis rodo agreguotus saugyklos duomenis:
- Stulpelinės diagramos rodo ataskaitų skaičių pagal produkto versiją
- Diagramos grupuojamos pagal ataskaitos tipą
- Pateikiama aukšto lygio apžvalga apie skenavimo aprėptį ir ataskaitų veiklą
Ataskaitų Prieiga ir Eksportas#
Peržiūra#
Saugykloje saugomos ataskaitos gali būti tiesiogiai rodomos naršyklėje peržiūrai.
Eksporto Formatai#
Palaikomi šie eksporto formatai:
- HTML
- ZIP archyvas su visais palaikomais formatais
Masiniai Eksportai#
Saugykla palaiko masinius eksporto veiksmus:
- ZIP archyvas su visomis ataskaitomis vienam produktui
- ZIP archyvas su ataskaitomis produktų grupei ir jos vaikų produktams
Masiniai eksportai dažniausiai naudojami kaip audito įrodymai, klientų peržiūros ir atitikties pateikimai.
Istorinės Ataskaitos#
Kiekvienam ataskaitų tipui saugykla palaiko pilną istorinę įrašų bazę.
- Visos ankstesnės ataskaitos lieka prieinamos
- Istorinės ataskaitos grupuojamos pagal produktą ir versiją
- Leidžia ilgalaikę saugumo iškrypimų analizę
Istoriniai duomenys pateikiami UI per Ankstesnių ataskaitų sąrašas.
Ataskaitų Įkėlimas#
REST API Integracija#
Ataskaitos įkeliamos į saugyklą per REST pagrindu sukurtą sąsają, skirta automatizavimui.
- Palaiko CI/CD valdomus įkėlimus
- Užtikrina nuoseklų, pakartotiną ataskaitų įkėlimą
- Pašalina rankinį failų valdymą
API specifikacija dokumentuota SonarQube Ataskaitų API.
Numatyti Panaudojimo Atvejai#
- Centralizuotas SonarQube saugumo ataskaitų saugojimas
- Versijoms jautri saugumo tendencijų analizė
- Atitikties ir audito įrodymų valdymas
- Automatizuotas įkėlimas iš CI/CD kanalų
- Portfelio lygio saugumo matomumas
Taip pat žiūrėti:#
Susiję straipsniai#
OWASP Top 10 Labiausiai Kritiškų Žiniatinklio Programų Saugumo Rizikų