REST APIProjectsAuth ScansScheduled ScansWebhooksPDF ReportsBadgeTeamsCI/CD

Outbound Webhooks Pro

Erhalten Sie HTTP-Benachrichtigungen in Echtzeit, wenn Scans abgeschlossen sind oder fehlschlagen. Integrieren Sie Scan-Ergebnisse in Ihr Monitoring, Alerting oder Ihre Automatisierung.

Uebersicht

Webhooks sind HTTP-POST-Requests, die an Ihren Server gesendet werden, wenn ein Scan-Event auftritt.

  • Events: SCAN_COMPLETED, SCAN_FAILED
  • Payloads werden mit HMAC-SHA256 signiert zur Verifizierung
  • Webhooks konfigurieren unter Einstellungen > Webhooks

Webhook erstellen

Fuegen Sie einen neuen Webhook-Endpoint in Ihren Kontoeinstellungen hinzu.

  • Die Endpoint-URL muss HTTPS verwenden.
  • Waehlen Sie, welche Events den Webhook ausloesen sollen.
  • Maximal 10 Webhook-Endpoints pro Konto.

Wichtig: Der Signing-Secret wird nur einmal nach der Erstellung angezeigt. Kopieren Sie ihn sofort und speichern Sie ihn sicher.

Payload

Jeder Webhook-Request enthaelt einen JSON-Payload mit den Scan-Ergebnissen:

JSON
{
  "scanId": "cm4x7k...",
  "projectId": "cm4x7j...",
  "projectName": "example.com",
  "url": "https://example.com",
  "status": "COMPLETED",
  "complianceScore": 85.5,
  "totalViolations": 12,
  "criticalCount": 1,
  "seriousCount": 3,
  "moderateCount": 5,
  "minorCount": 3,
  "reportUrl": "https://scanclusive.com/dashboard/scans/cm4x7k...",
  "timestamp": "2026-04-03T12:00:00.000Z"
}

Signatur-Verifizierung

Jeder Webhook wird mit HMAC-SHA256 signiert, damit Sie verifizieren koennen, dass Requests tatsaechlich von ScanClusive stammen.

  • Der Payload-Body wird mit dem Secret Ihres Endpoints signiert.
  • Die Signatur wird im X-ScanClusive-Signature Header als sha256=<hex> gesendet.
  • Der Event-Typ wird im X-ScanClusive-Event Header gesendet.
Node.js
const crypto = require('crypto');

function verifyWebhook(body, signature, secret) {
  const expected = 'sha256=' + crypto
    .createHmac('sha256', secret)
    .update(body)
    .digest('hex');
  return crypto.timingSafeEqual(
    Buffer.from(signature),
    Buffer.from(expected)
  );
}
Python
import hmac, hashlib

def verify_webhook(body: bytes, signature: str, secret: str) -> bool:
    expected = 'sha256=' + hmac.new(
        secret.encode(), body, hashlib.sha256
    ).hexdigest()
    return hmac.compare_digest(signature, expected)

Retry-Verhalten

Fehlgeschlagene Webhook-Zustellungen werden automatisch wiederholt.

  • 3 Versuche insgesamt pro Zustellung.
  • Exponentieller Backoff: 1 Sekunde, 4 Sekunden, 16 Sekunden.
  • Nicht-2xx HTTP-Antworten loesen einen Retry aus.
  • Netzwerkfehler und Timeouts loesen einen Retry aus.
  • Alle Zustellversuche werden protokolliert und sind unter Einstellungen > Webhooks > Verlauf sichtbar.

Testen

Verifizieren Sie Ihren Webhook-Endpoint, bevor Sie sich in der Produktion darauf verlassen.

  • Verwenden Sie den 'Test'-Button neben Ihrem Endpoint in den Einstellungen, um einen Beispiel-Payload zu senden.
  • Nutzen Sie webhook.site zum schnellen Testen ohne eigenen Server.
  • Test-Zustellungen verwenden den Event-Typ TEST (nicht SCAN_COMPLETED).

GitHub Issues

Erstellen Sie GitHub Issues direkt aus Scan-Violations. Jedes Issue enthaelt Violation-Details, betroffene Seiten, WCAG-Kriterien und einen Link zum Scan-Report.

  1. Gehen Sie zu GitHub: Settings > Developer Settings > Personal Access Tokens > Fine-grained tokens.
  2. Erstellen Sie einen neuen Token. Vergeben Sie die Berechtigung 'Issues: Read & Write' fuer die gewuenschten Repositories.
  3. In ScanClusive: Einstellungen > GitHub Integration. Token einfuegen und Standard-Repository setzen (Format: owner/repo).
  4. Auf jeder Scan-Detailseite klicken Sie 'Create Issue' neben einer Violation-Gruppe, um ein formatiertes GitHub Issue zu erstellen.

Das Standard-Repository wird beim Erstellen von Issues verwendet. Sie legen es einmalig in den Einstellungen fest. Format: owner/repo (z.B. meinefirma/website). Der PAT muss Schreibzugriff auf dieses Repository haben.

Slack & Microsoft Teams

ScanClusive kann formatierte Benachrichtigungen direkt an Slack-Channels oder Microsoft Teams senden. Der Webhook-Typ wird automatisch anhand der URL erkannt.

Slack

Senden Sie Scan-Ergebnisse als formatierte Block-Kit-Nachrichten an einen Slack-Channel.

  1. Gehen Sie zu Ihren Slack-Workspace-Einstellungen und erstellen Sie einen Incoming Webhook.
  2. Kopieren Sie die Webhook-URL (beginnt mit https://hooks.slack.com/).
  3. Fuegen Sie sie unter ScanClusive Einstellungen > Webhooks ein. Der Typ wird automatisch als 'Slack' erkannt.

Microsoft Teams

Senden Sie Scan-Ergebnisse als Adaptive Cards an einen Teams-Channel.

  1. Fuegen Sie in Ihrem Teams-Channel den 'Incoming Webhook'-Connector hinzu.
  2. Kopieren Sie die Webhook-URL (enthaelt .webhook.office.com).
  3. Fuegen Sie sie unter ScanClusive Einstellungen > Webhooks ein. Der Typ wird automatisch als 'Teams' erkannt.

Der Webhook-Typ (Generic, Slack oder Teams) wird automatisch anhand der URL erkannt. Sie koennen ihn auch manuell beim Erstellen festlegen.

Bereit fuer Webhook-Integration?

Upgraden Sie auf Pro und erhalten Sie Scan-Benachrichtigungen.

Jetzt starten
Outbound Webhooks – ScanClusive Docs | ScanClusive