Webhooks
Registrieren Sie ausgehende Webhook-Endpunkte, die HMAC-signierte Ereignis-Zustellungen erhalten, wann immer etwas Interessantes in Ihrer Organisation passiert. Die Administrator-Seite übernimmt Endpoint-CRUD; der detaillierte Zustellungsvertrag — Ereigniskatalog, Signaturverifizierung, Wiederholungsplan — befindet sich unter API → Webhooks.
Wo sich das befindet
Seitenleiste → Webhooks unter dem Abschnitt Integrationen, unter /organization/webhooks.
Einen Endpunkt erstellen
Klicken Sie auf + Endpunkt hinzufügen. Der Dialog fragt nach:
- URL — die öffentliche HTTPS-URL, die Zustellungen erhält. Tunnel (cloudflared, ngrok) funktionieren für die lokale Entwicklung gut.
- Beschreibung (optional) — kurze Notiz, z.B. "Slack #appsec notifier" oder "Jira ticket creator".
- Ereignisse — welche Ereignistypen abonniert werden sollen. Die vier heute ausgelieferten Ereignisse sind
assignment.created,assignment.completed,sarif.ingestedundcertificate.issued.
Bei der Übermittlung zeigt der Dialog das Signaturgeheimnis (whsec_…) einmal an. Kopieren Sie es sofort in Ihren Secrets-Manager. Sie benötigen es, um jede eingehende Zustellung zu verifizieren; siehe API → Webhooks für Verifizierungscode in Node, Python und Go.
Endpunkte auflisten
Die Listenansicht zeigt jeden Webhook-Endpunkt für Ihre Organisation. Jede Zeile trägt die URL, die abonnierten Ereignisse, den Ersteller und einen Live-Gesundheitsindikator:
| Status | Bedeutung |
|---|---|
| Gesund | Letzte Zustellung gab eine 2xx-Antwort zurück. |
| Fehlschlagend | Letzte Zustellung gab eine Nicht-2xx-Antwort zurück oder lief in eine Zeitüberschreitung, aber der Endpunkt wird weiterhin wiederholt. |
| Ausstehend | Der Endpunkt existiert, hat aber noch keine erste Zustellung erhalten. |
| Deaktiviert | Der Endpunkt hat den Wiederholungsplan bei einer kürzlichen Zustellung erschöpft und wurde automatisch deaktiviert. Der letzte Zustellungs-Zeitstempel wird beibehalten, damit Sie sehen können, wann er fehlgeschlagen ist. |
Bearbeiten und Löschen
Klicken Sie auf Bearbeiten, um die URL, die Beschreibung oder die Ereignis-Abonnementliste zu aktualisieren. Das Ausschalten des Aktiv-Schalters pausiert die Zustellung, ohne den Endpunkt zu löschen; das Wiedereinschalten setzt die Zustellung fort und löscht den automatisch deaktivierten Zustand. Klicken Sie auf Löschen, um den Endpunkt vollständig zu entfernen — ausstehende Zustellungen an ihn werden abgebrochen und die Zeile wird aus der Liste entfernt.
Letzte Zustellungen prüfen
Der Button ⟳ Zustellungen in jeder Zeile öffnet eine Schublade, die die letzten 50 Zustellungsversuche für diesen Endpunkt auflistet. Jeder Eintrag zeigt den Ereignistyp, die Ereignis-ID, den aktuellen Status (pending / delivered / failed / exhausted), die Versuchsanzahl, den von Ihrem Endpunkt zurückgegebenen HTTP-Statuscode, jede Fehlermeldung und die Zeitstempel.
Verwenden Sie diese Ansicht, um einen sich falsch verhaltenden Consumer zu debuggen, ohne Ihren eigenen Receiver instrumentieren zu müssen — wenn der Receiver einen 5xx zurückgibt, ist die Nachricht, die Sie hier sehen, dieselbe Nachricht, die Ihre Anwendung protokolliert hat.
Wiederholung und automatisches Deaktivieren
Fehlgeschlagene Zustellungen werden nach einem Zeitplan von 1m → 5m → 30m → 2h für bis zu fünf Gesamtversuche wiederholt. Nach dem fünften Fehler wird der Endpunkt automatisch deaktiviert und die letzte Zustellung als exhausted markiert. Um wieder zu aktivieren, beheben Sie den Receiver, klicken Sie dann entweder auf Aktiv im Bearbeiten-Dialog oder senden Sie das API PATCH /api/sch/org/webhooks/{id} mit {"isActive": true}.
Programmatischer Zugriff
Jede Aktion auf dieser Seite ist auch über die öffentliche API erreichbar — siehe API → Webhooks für die CRUD-Oberfläche und den Zustellungsvertrag.