Repozytorium Raportów Bezpieczeństwa SonarQube#
Przegląd#
Repozytorium Raportów Bezpieczeństwa SonarQube jest kluczowym elementem platformy Procurize AI, które przechowuje, indeksuje i udostępnia raporty bezpieczeństwa SonarQube do długoterminowego dostępu i analizy. Repozytorium jest zoptymalizowane pod kątem automatycznego wprowadzania, strukturalnej organizacji według produktu i wersji oraz dalszego wykorzystania poprzez interfejs UI oraz mechanizmy eksportu.
Repozytorium obsługuje raporty bezpieczeństwa generowane przez SonarQube i jest powszechnie wykorzystywane w ramach procesów CI/CD, bezpieczeństwa aplikacji oraz zgodności.
Obsługiwane typy raportów#
Repozytorium przyjmuje i przechowuje następujące typy raportów bezpieczeństwa SonarQube:
Każdy raport jest powiązany z konkretnym produktem i wersją produktu oraz jest przechowywany z metadanymi niezbędnymi do filtrowania, agregacji i analizy historycznej.
Model danych i organizacja#
Produkty i grupy#
Raporty są organizowane przy użyciu modelu hierarchicznego:
Produkt
Reprezentuje pojedynczą aplikację lub usługę.Grupa produktów
Reprezentuje logiczne grupowanie powiązanych produktów.
Produkty i ich hierarchia grupowa są zdefiniowane w konfiguracji platformy.
Szczegóły konfiguracji znajdziesz w Jak konfigurować raporty bezpieczeństwa.
Metadane raportu#
Każdy przechowywany raport zawiera następujące metadane:
- Nazwa produktu
- Wersja produktu
- Typ raportu
- Data wykonania skanowania
- Data przesłania raportu
- Łączna liczba podatności
- Ogólna kategoria podatności
Te metadane są wykorzystywane do renderowania kokpitu, filtrowania, eksportu oraz integracji opartych na API.
Reprezentacja w kokpicie#
Widok raportów bezpieczeństwa#
Przechowywane raporty są udostępniane w kokpicie Procurize AI pod:
Zgodność → Raport bezpieczeństwa
Produkty są wyświetlane jako indywidualne karty
Każda karta produktu zawiera tabelę pokazującą najnowsze raporty dla każdego typu raportu
Tabela podsumowuje:
- Datę skanowania
- Datę przesłania
- Liczbę podatności
- Ogólną kategorię podatności
Ten widok odzwierciedla najnowszy stan wprowadzania raportów dla każdego produktu.
Wizualizacja podsumowania#
Strona kokpitu Home wyświetla zagregowane dane repozytorium:
- Wykresy słupkowe pokazują liczbę raportów na wersję produktu
- Wykresy są grupowane wg typu raportu
- Zapewnia przegląd wysokiego poziomu pokrycia skanów i aktywności raportowania
Dostęp do raportów i eksport#
Przeglądanie#
Raporty przechowywane w repozytorium mogą być wyświetlane bezpośrednio w przeglądarce w celu przeglądu.
Formaty eksportu#
Obsługiwane są następujące formaty eksportu:
- HTML
- Archiwum ZIP zawierające wszystkie wspierane formaty
Eksport zbiorczy#
Repozytorium obsługuje operacje eksportu zbiorczego:
- Archiwum ZIP zawierające wszystkie raporty dla jednego produktu
- Archiwum ZIP zawierające raporty dla grupy produktów oraz jej produktów podrzędnych
Eksporty zbiorcze są zazwyczaj wykorzystywane jako dowody audytowe, przeglądy klienta oraz zgłoszenia zgodności.
Raporty historyczne#
Dla każdego typu raportu repozytorium utrzymuje pełny zapis historyczny.
- Wszystkie poprzednie raporty pozostają dostępne
- Raporty historyczne są grupowane według produktu i wersji
- Umożliwia długoterminową analizę wyników bezpieczeństwa
Dane historyczne są udostępniane w UI poprzez widok Lista poprzednich raportów.
Wprowadzanie raportów#
Integracja z REST API#
Raporty są wprowadzane do repozytorium za pośrednictwem interfejsu opartego na REST, zaprojektowanego do automatyzacji.
- Obsługuje przesyłanie z CI/CD
- Umożliwia spójne, powtarzalne wprowadzanie raportów
- Eliminuje ręczne zarządzanie plikami
Specyfikacja API jest udokumentowana w API Raportów SonarQube.
Przypadki użycia#
- Centralne przechowywanie raportów bezpieczeństwa SonarQube
- Analiza trendów bezpieczeństwa z uwzględnieniem wersji
- Zarządzanie dowodami zgodności i audytu
- Automatyczne wprowadzanie z pipeline’ów CI/CD
- Widoczność bezpieczeństwa na poziomie portfolio