Repositori Laporan Keselamatan SonarQube#
Gambaran Keseluruhan#
Repositori Laporan Keselamatan SonarQube ialah komponen teras platform Procurize AI yang menyimpan, mengindeks, dan mengekspos laporan keselamatan SonarQube untuk akses dan analisis jangka panjang. Repositori ini dioptimumkan untuk pengambilan automatik, penyusunan berstruktur mengikut produk dan versi, serta penggunaan selanjutnya melalui UI dan mekanisme eksport.
Repositori ini menyokong laporan keselamatan yang dijana oleh SonarQube dan biasanya digunakan sebagai bahagian aliran kerja CI/CD, keselamatan aplikasi, serta kepatuhan.
Jenis Laporan yang Disokong#
Repositori menerima dan menyimpan jenis laporan keselamatan SonarQube berikut:
Setiap laporan dikaitkan dengan produk dan versi produk tertentu serta disimpan bersama metadata yang diperlukan untuk penapisan, pengagregatan, dan analisis sejarah.
Model Data dan Penyusunan#
Produk dan Kumpulan#
Laporan disusun menggunakan model hierarki:
Produk
Mewakili satu aplikasi atau perkhidmatan.
Kumpulan Produk
Mewakili kumpulan logik produk‑produk yang berkaitan.
Produk dan hierarki kumpulannya ditakrifkan dalam konfigurasi platform.
Untuk butiran konfigurasi, lihat Cara mengkonfigurasi laporan keselamatan.
Metadata Laporan#
Setiap laporan yang disimpan mengandungi metadata berikut:
- Nama produk
- Versi produk
- Jenis laporan
- Tarikh pelaksanaan imbasan
- Tarikh muat naik laporan
- Jumlah bilangan kerentanan
- Kategori kerentanan keseluruhan
Metadata ini digunakan untuk rendering papan pemuka, penapisan, eksport, dan integrasi berasaskan API.
Representasi Papan Pemuka#
Paparan Laporan Keselamatan#
Laporan yang disimpan dipaparkan dalam papan pemuka Procurize AI di bawah:
Kepatuhan → Laporan keselamatan
Produk dipaparkan sebagai kad individu
Setiap kad produk mengandungi jadual yang menunjukkan laporan terkini bagi setiap jenis laporan
Jadual merangkum:
- Tarikh imbasan
- Tarikh muat naik
- Bilangan kerentanan
- Kategori kerentanan keseluruhan
Paparan ini mencerminkan keadaan pengambilan laporan yang paling baru bagi setiap produk.
Visualisasi Ringkasan#
Halaman papan pemuka Laman Utama memaparkan data repositori yang digabungkan:
- Carta bar menunjukkan bilangan laporan per versi produk
- Carta dikelompokkan mengikut jenis laporan
- Memberikan gambaran tinggi tentang liputan imbasan dan aktiviti pelaporan
Akses dan Eksport Laporan#
Paparan#
Laporan yang disimpan dalam repositori dapat dipaparkan terus di pelayar untuk semakan.
Format Eksport#
Format eksport berikut disokong:
- HTML
- Arkib ZIP yang mengandungi semua format yang disokong
Eksport Pukal#
Repositori menyokong operasi eksport pukal:
- Arkib ZIP yang mengandungi semua laporan untuk satu produk
- Arkib ZIP yang mengandungi laporan untuk kumpulan produk dan produk anaknya
Eksport pukal biasanya digunakan sebagai bukti audit, semakan pelanggan, dan penyerahan kepatuhan.
Laporan Sejarah#
Bagi setiap jenis laporan, repositori mengekalkan rekod sejarah yang lengkap.
- Semua laporan terdahulu tetap boleh diakses
- Laporan sejarah dikelompokkan mengikut produk dan versi
- Membolehkan analisis longitudinal penemuan keselamatan
Data sejarah dipaparkan melalui UI dalam paparan Senarai laporan terdahulu.
Pengambilan Laporan#
Integrasi API REST#
Laporan diambil ke dalam repositori melalui antara muka berasaskan REST yang direka untuk automasi.
- Menyokong muat naik yang dipacu CI/CD
- Memungkinkan pengambilan laporan yang konsisten dan berulang
- Menghapuskan pengurusan fail manual
Spesifikasi API didokumenkan dalam API Laporan SonarQube.
Kes Penggunaan yang Dimaksudkan#
- Penyimpanan berpusat laporan keselamatan SonarQube
- Analisis trend keselamatan berasaskan versi
- Pengurusan bukti kepatuhan dan audit
- Pengambilan automatik dari saluran CI/CD
- Kebolehtelusan keselamatan pada tahap portfolio
Lihat juga:#
Artikel berkaitan#
OWASP Top 10 Risiko Keselamatan Aplikasi Web Paling Kritikal