Webhooks звітності SonarQube#
Дізнайтеся, як працюють webhooks SonarQube у Procurize AI, включаючи налаштування, структуру корисного навантаження, перевірку безпеки та поведінку повторних спроб.
Огляд#
Webhooks Procurize дозволяють зовнішнім системам отримувати сповіщення, коли нові звіти SonarQube завантажуються або оновлюються.
Налаштування webhooks#
Webhooks можна додати або редагувати у панелі налаштувань організації, у розділі Звіти безпеки за адресою https://dashboard.procurize.ai. Будь ласка, зверніть увагу, що доступ до панелі налаштувань вимагає авторизації, а доступ до панелі налаштувань організації потребує ролі користувача не менше як Адміністратор у цій організації.
Щоб перевірити вебхуки, ви можете скористатися популярними онлайн‑сервісами, наприклад https://webhook-test.com
Параметри Webhook#
Події webhook доставляються у вигляді HTTP POST‑запитів з JSON‑корисним навантаженням.
Приклад навантаження
{
"organizationId": "00000000-0000-0000-0000-000000000001",
"reports": [
{
"projectName": "Test product",
"id": "00000000-0000-0000-0000-000000000002",
"reportType": "CWE Top 25",
"reportVersion": 2024,
"projectVersion": "1.0",
"date": "2025-12-17T09:05:48.5946432+00:00",
"uploadDate": "2025-12-17T09:05:48.5946432+00:00",
"vulnerabilitiesCount": 0,
"securityRating": "A"
}
]
}
Безпека Webhook#
Щоб забезпечити автентичність, запити webhook включають заголовок підпису, сформований за допомогою спільного секрету.
- Підпис обчислюється за допомогою HMAC‑SHA256
- Клієнти повинні перевіряти підпис перед обробкою навантаження
Це запобігає неавторизованим або підробленим доставкам webhook.
Доставлення та повторні спроби#
- Webhooks очікують відповідь
2xx, щоб вважатися успішно доставленими - Неуспішні доставки автоматично повторюються щогодини.
- Події можуть доставлятися декілька разів; споживачі повинні впроваджувати ідемпотентну обробку
Типові випадки використання#
- Автоматично імпортувати результати SonarQube у внутрішні дашборди безпеки
- Запускати робочі процеси відповідності, коли контрольні ворота якості не пройдені
- Архівувати звіти безпеки для аудиту та оглядів ризиків постачальників
- Підтримувати синхронізацію сторонніх систем з останньою станом безпеки коду