Proprietà SARIF supportate - Amazon CodeCatalyst

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Proprietà SARIF supportate

Lo Static Analysis Results Interchange Format (SARIF) è un formato di file di output disponibile nell'analisi della composizione del software (SCA) e nei report di analisi statica in Amazon. CodeCatalyst L'esempio seguente mostra come configurare manualmente SARIF in un report di analisi statica:

Reports: MySAReport: Format: SARIFSA IncludePaths: - output/sa_report.json SuccessCriteria: StaticAnalysisFinding: Number: 25 Severity: HIGH

CodeCatalyst supporta le seguenti proprietà SARIF che possono essere utilizzate per ottimizzare la visualizzazione dei risultati dell'analisi nei report.

Oggetto sarifLog

Nome Richiesto Descrizione

$schema

L'URI dello schema JSON SARIF per la versione 2.1.0.

version

CodeCatalyst supporta solo la versione SARIF 2.1.0.

runs[]

Un file SARIF contiene una matrice di una o più esecuzioni, ognuna delle quali rappresenta una singola esecuzione dello strumento di analisi.

Oggetto run

Nome Richiesto Descrizione

tool.driver

Un toolComponent oggetto che descrive lo strumento di analisi.

tool.name

No

Una proprietà che indica il nome dello strumento utilizzato per eseguire l'analisi.

results[]

I risultati dello strumento di analisi visualizzati su CodeCatalyst.

Oggetto toolComponent

Nome Richiesto Descrizione

name

Il nome dello strumento di analisi.

properties.artifactScanned

No

Numero totale di artefatti analizzati dallo strumento.

rules[]

Una serie di reportingDescriptor oggetti che rappresentano regole. In base a queste regole, lo strumento di analisi rileva problemi nel codice analizzato.

Oggetto reportingDescriptor

Nome Richiesto Descrizione

id

L'identificatore univoco della regola utilizzata per fare riferimento a un risultato.

Lunghezza massima: 1.024 caratteri

name

No

Il nome visualizzato della regola.

Lunghezza massima: 1.024 caratteri

shortDescription.text

No

Una breve descrizione della regola.

Lunghezza massima: 3.000 caratteri

fullDescription.text

No

Una descrizione completa della regola.

Lunghezza massima: 3.000 caratteri

helpUri

No

Una stringa che può essere localizzata per contenere l'URI assoluto della documentazione principale della regola.

Lunghezza massima: 3.000 caratteri

properties.unscore

No

Un contrassegno che indica se il risultato della scansione è stato valutato.

properties.score.severity

No

Un set fisso di stringhe che specificano il livello di gravità del risultato.

Lunghezza massima: 1.024 caratteri

properties.cvssv3_baseSeverity

No

Una valutazione di gravità qualitativa del Common Vulnerability Scoring System v3.1.

properties.cvssv3_baseScore

No

Un punteggio di base CVSS v3 compreso tra 0,0 e 10,0.

properties.cvssv2_severity

No

Se i valori CVSS v3 non sono disponibili, cerca i valori CVSS v2. CodeCatalyst

properties.cvssv2_score

No

Un punteggio di base CVSS v2 compreso tra 0,0 e 10,0.

properties.severity

No

Un insieme fisso di stringhe che specificano il livello di gravità del risultato.

Lunghezza massima: 1.024 caratteri

defaultConfiguration.level

No

La severità predefinita di una regola.

Oggetto result

Nome Richiesto Descrizione

ruleId

L'identificatore univoco della regola utilizzata per fare riferimento a un risultato.

Lunghezza massima: 1.024 caratteri

ruleIndex

L'indice della regola associata nel componente rules[] utensile.

message.text

Un messaggio che descrive il risultato e visualizza il messaggio per ogni risultato.

Lunghezza massima: 3.000 caratteri

rank

No

Un valore compreso tra 0,0 e 100,0 inclusi che rappresenta la priorità o l'importanza del risultato. Il valore di questa scala è 0,0 come priorità più bassa e 100,0 come priorità più alta.

level

No

La gravità del risultato.

Lunghezza massima: 1.024 caratteri

properties.unscore

No

Un contrassegno che indica se il risultato della scansione è stato valutato.

properties.score.severity

No

Un set fisso di stringhe che specificano il livello di gravità del risultato.

Lunghezza massima: 1.024 caratteri

properties.cvssv3_baseSeverity

No

Una valutazione di gravità qualitativa del Common Vulnerability Scoring System v3.1.

properties.cvssv3_baseScore

No

Un punteggio di base CVSS v3 compreso tra 0,0 e 10,0.

properties.cvssv2_severity

No

Se i valori CVSS v3 non sono disponibili, cerca i valori CVSS v2. CodeCatalyst

properties.cvssv2_score

No

Un punteggio di base CVSS v2 compreso tra 0,0 e 10,0.

properties.severity

No

Un insieme fisso di stringhe che specificano il livello di gravità del risultato.

Lunghezza massima: 1.024 caratteri

locations[]

L'insieme di posizioni in cui è stato rilevato il risultato. È necessario includere solo una posizione, a meno che il problema non possa essere corretto solo apportando una modifica in ogni posizione specificata. CodeCatalyst utilizza il primo valore nell'array di posizione per annotare il risultato.

Numero massimo di location oggetti: 10

relatedLocations[]

No

Un elenco di riferimenti a località aggiuntivi inclusi nel risultato.

Numero massimo di location oggetti: 50

fixes[]

No

Una serie di fix oggetti che rappresentano la raccomandazione fornita dallo strumento di scansione. CodeCatalyst utilizza la prima raccomandazione dell'fixesarray.

Oggetto location

Nome Richiesto Descrizione

physicalLocation

Identifica l'artefatto e la regione.

logicalLocations[]

No

L'insieme di posizioni descritte per nome senza riferimento all'artefatto.

Oggetto physicalLocation

Nome Richiesto Descrizione

artifactLocation.uri

L'URI che indica la posizione di un artefatto, in genere un file nel repository o generato durante una compilazione.

fileLocation.uri

No

L'URI di riserva che indica la posizione del file. Viene utilizzato se i risultati artifactLocation.uri sono vuoti.

region.startLine

Il numero di riga del primo carattere nella regione.

region.startColumn

Il numero di colonna del primo carattere nella regione.

region.endLine

Il numero di riga dell'ultimo carattere nella regione.

region.endColumn

Il numero di colonna dell'ultimo carattere nella regione.

Oggetto logicalLocation

Nome Richiesto Descrizione

fullyQualifiedName

No

Informazioni aggiuntive che descrivono la posizione del risultato.

Lunghezza massima: 1.024 caratteri

Oggetto fix

Nome Richiesto Descrizione

description.text

No

Un messaggio che mostra un consiglio per ogni risultato.

Lunghezza massima: 3.000 caratteri

artifactChanges.[0].artifactLocation.uri

No

L'URI che indica la posizione dell'elemento che deve essere aggiornato.