Сховище звітів безпеки SonarQube#

Огляд#

Сховище звітів безпеки SonarQube – це ключовий компонент платформи Procurize AI, який зберігає, індексує та надає звіти безпеки SonarQube для довготривалого доступу та аналізу. Сховище оптимізоване для автоматизованого інжестування, структурованої організації за продуктом та версією, а також подальшого використання через інтерфейс користувача та механізми експорту.

Сховище підтримує звіти безпеки, створені SonarQube, і зазвичай використовується в процесах CI/CD, безпеки додатків та відповідності нормативам.

Підтримувані типи звітів#

Сховище приймає та зберігає такі типи звітів безпеки SonarQube:

• OWASP Top 10
• CWE Top 25

Кожен звіт асоційований з конкретним продуктом і його версією та зберігається разом із метаданими, необхідними для фільтрації, агрегації та історичного аналізу.

Модель даних та організація#

Продукти та групи#

Звіти організовуються за ієрархічною моделлю:

• Продукт
  Представляє окремий додаток або сервіс.

• Група продуктів
  Представляє логічне об’єднання пов’язаних продуктів.

Продукти та їх ієрархію груп визначено у конфігурації платформи.
Для деталей конфігурації дивіться Як налаштувати звіти безпеки.

Метадані звіту#

Кожен збережений звіт містить такі метадані:

• Назва продукту
• Версія продукту
• Тип звіту
• Дата виконання сканування
• Дата завантаження звіту
• Загальна кількість уразливостей
• Категорія уразливості в цілому

Ці метадані використовуються для відображення на панелі, фільтрації, експорту та інтеграції через API.

Відображення на панелі#

Перегляд звітів безпеки#

Збережені звіти доступні на панелі Procurize AI у розділі:

Compliance → Security report

• Продукти відображаються у вигляді окремих карток

• Кожна картка продукту містить таблицю з останніми звітами за типом звіту

• У таблиці підсумовано:

  • Дата сканування
  • Дата завантаження
  • Кількість уразливостей
  • Категорія уразливості в цілому

Таким чином, відображається поточний стан інжестування останніх звітів для кожного продукту.

Оглядова візуалізація#

На головній сторінці панелі Home показані агреговані дані сховища:

• Стовпчикові діаграми демонструють кількість звітів за версією продукту
• Діаграми згруповані за типом звіту
• Надають високорівневий огляд охоплення скануванням та активності звітування

Доступ до звітів та експорт#

Перегляд#

Звіти, збережені у сховищі, можна безпосередньо відобразити у браузері для перегляду.

Формати експорту#

Підтримуються такі формати експорту:

• HTML
• PDF
• ZIP‑архів, що містить усі підтримувані формати

Масові експорти#

Сховище підтримує масові операції експорту:

• ZIP‑архів, що містить усі звіти для одного продукту
• ZIP‑архів, що містить звіти для групи продуктів та її дочірніх продуктів

Масові експорти, зазвичай, використовуються як доказ аудиту, для огляду клієнтами та подачі у відповідності.

Історичні звіти#

Для кожного типу звіту сховище зберігає повний історичний реєстр.

• Усі попередні звіти залишаються доступними
• Історичні звіти згруповані за продуктом та версією
• Дозволяє довгостроковий аналіз виявлених уразливостей

Історичні дані доступні через інтерфейс користувача у вигляді списку попередніх звітів.

Інжестування звітів#

Інтеграція через REST API#

Звіти інжестуються у сховище через REST‑орієнтований інтерфейс, розрахований на автоматизацію.

• Підтримка завантажень у процесах CI/CD
• Забезпечує послідовне, повторюване інжестування звітів
• Виключає ручне керування файлами

Специфікація API задокументована у SonarQube Reports API.

Передбачувані сценарії використання#

• Централізоване зберігання звітів безпеки SonarQube
• Аналіз тенденцій безпеки з урахуванням версій
• Управління доказами відповідності та аудиту
• Автоматичне інжестування зі CI/CD‑конвеєрів
• Видимість безпеки на рівні портфоліо

Дивіться також:#

• Як налаштувати звіти безпеки
• SonarQube Reports API

Пов’язані статті#

Що таке звіти безпеки?

OWASP Top 10 найкритичніших ризиків безпеки веб‑додатків

CWE Top 25 найнебезпечніших слабкостей програмного забезпечення