Rapports et exports
Tous les formats de rapport Scanyze — PDF, Markdown, JSON, SBOM CycloneDX, exports vers vCISO et ConformVault
Rapports et exports
Scanyze produit plusieurs formats de rapports adaptés à chaque audience et à chaque flux de travail.
Vue d'ensemble
| Format | Module | Audience | Voir |
|---|---|---|---|
| HTML interactif | Tous | Web — équipe sécurité | Page du scan, drill-down par finding |
| PDF Exécutif | EASM, Code, Pentest | Direction, board, audit externe | Bouton Exporter → PDF Exécutif |
| PDF Technique | EASM, Code, Pentest | DevSecOps, développeurs | Bouton Exporter → PDF Technique |
| Machine Markdown | Code | Pipelines CI/CD, LLMs | Bouton Exporter → Machine MD |
| JSON brut | Tous | Scripts, intégrations | Bouton Exporter → JSON ou via API |
| CSV | Findings, AI Credits, Audit logs | Excel, BI | Bouton Exporter → CSV (sur les listes) |
| SBOM CycloneDX 1.5 | EASM (web tech) + Code (deps) | Audit chaîne d'approvisionnement | /scans/{id}/sbom |
| SARIF 2.1.0 | Code | Outils GitHub, GitLab native | /code/scans/{id}/sarif |
Rapports IA pour Code Scanning
Voir la page dédiée : Rapports IA — 3 formats. Trois artefacts générés simultanément à chaque rapport AI : executive.pdf, technical.pdf, machine.md, tous uploadés sur S3 avec hash SHA-256.
Rapports EASM
PDF Exécutif EASM
5-10 pages :
- Couverture avec branding (logo tenant si custom branding actif)
- Synthèse de la posture (score, tendance vs précédent)
- Top 10 findings critiques
- Carte des sous-domaines/services exposés
- Recommandations stratégiques
- Méthodologie résumée
PDF Technique EASM
30-100 pages selon le périmètre :
- Tous les findings groupés par catégorie (TLS, DNS, HTTP, Vulns, Email, etc.)
- Pour chaque finding : description, severity, CVSS, CWE, CVE, evidence brute, recommandation
- Attack Paths : chaînes d'exploitation détectées
- SBOM : technologies détectées avec versions
- Annexes : raw outputs Nmap, Nuclei, TestSSL
Rapports Pentest IA
PDF Exécutif Pentest
- Résumé de la mission, scope effectif, durée
- Top findings avec impact business
- Score de posture pentest
- Conformité avec les autorisations
- Recommandations stratégiques
PDF Technique Pentest
- Méthodologie détaillée par phase
- Pour chaque finding : steps to reproduce, evidence (payloads, captures), recommandation
- Exploit chains reconstituées
- Annexes raw
Exports vers d'autres produits SecuAAS
vCISO Platform
Si vous utilisez vCISO Platform, vous pouvez exporter automatiquement les findings de Scanyze comme evidence d'audit :
- Settings → Intégrations → vCISO Platform → connecter
- Choisir le mode :
- Push automatique : tous les findings critiques sont automatiquement envoyés à vCISO
- Push manuel : sur la page d'un finding, bouton Envoyer à vCISO
- Côté vCISO, le finding apparaît dans le module Evidence avec un lien retour vers Scanyze.
Endpoints utilisés : /v1/findings/{id}/vciso-evidence (secuscan-api/internal/api/handlers/vciso_evidence.go).
ConformVault
Pour archiver les rapports PDF dans ConformVault (stockage chiffré conforme Loi 25) :
- Settings → Intégrations → ConformVault → connecter
- Choisir le dossier ConformVault de destination
- À chaque rapport généré, une copie est automatiquement uploadée dans ConformVault
- Les rapports sont chiffrés AES-256-GCM avec votre clé d'organisation, accessibles uniquement par vos utilisateurs ConformVault autorisés
Exports vers tickets
Jira
- Settings → Intégrations → Jira → connecter (URL + email + API token)
- Mapper les sévérités vers les priorités Jira (
critical→Highest, etc.) - Choisir le projet Jira de destination
- Sur un finding : Créer un ticket Jira crée un issue avec titre, description, sévérité, lien retour
Slack
Pour notifications uniquement (pas de création de ticket) :
- Settings → Intégrations → Slack → ajouter le webhook
- Choisir le canal et les types d'événements (new finding critical, scan completed, etc.)
Teams
Idem Slack, via Microsoft Teams Incoming Webhook.
PagerDuty
Pour les findings critical uniquement, déclenche un incident PagerDuty (plan Business+).
Exports automatisés (batch reports)
Disponible plan Business+. /reports/batch permet de :
- Générer des rapports périodiques (hebdo, mensuel, trimestriel)
- Avec agrégation multi-cibles ou multi-workspaces
- Envoyés automatiquement par email à une liste de destinataires
- En PDF + Markdown
- Avec comparaison vs période précédente (deltas)
Idéal pour les rapports board-level mensuels, les revues client trimestrielles, les rapports de gouvernance.
SBOM (Software Bill of Materials)
Format CycloneDX 1.5 standard. Contient :
- Tous les composants logiciels détectés (web servers, frameworks, librairies front, dépendances back)
- Version de chaque composant
- Licences détectées
- Vulnérabilités CVE associées (cross-référencées avec OSV.dev)
Téléchargeable depuis /scans/{id}/sbom ou /code/scans/{id}/sbom.
SARIF (pour GitHub, GitLab Code Scanning)
Format SARIF 2.1.0 standard supporté nativement par GitHub Code Scanning et GitLab :
- Téléchargeable depuis
/code/scans/{id}/sarif - Peut être uploadé directement dans GitHub Security via
code-scanning/upload-sarifaction - Tous les findings sont mappés en SARIF rules avec ruleId, level, message, locations
Rétention des rapports
| Plan | Rétention rapports |
|---|---|
| Essentiel | 30 jours |
| Starter | 90 jours |
| Pro | 365 jours |
| Business | 730 jours (2 ans) |
| Enterprise | Sur demande (jusqu'à 7 ans) |
Au-delà de la période, les rapports sont supprimés du stockage S3 mais les findings restent en base (avec leur evidence). La régénération d'un rapport à partir des findings reste possible (consomme à nouveau des crédits IA).
Sources de cette page
- Backend :
secuscan-api/internal/services/report/,secuscan-api/internal/api/handlers/batch_reports.go,secuscan-api/internal/services/scanner/report_pdf.go - Renderer PDF :
johnfercher/maroto v2 - S3 / MinIO :
secuscan-api/internal/services/storage/
À jour pour Scanyze v0.130.x.