サポートされている SARIF プロパティ - Amazon CodeCatalyst
sarifLog オブジェクトrun オブジェクトtoolComponent オブジェクトreportingDescriptor オブジェクトresult オブジェクトlocation オブジェクトphysicalLocation オブジェクトlogicalLocation オブジェクトfix オブジェクト

サポートされている SARIF プロパティ

Static Analysis Results Interchange Format (SARIF) は、Amazon CodeCatalyst のソフトウェア構成分析 (SCA) レポートおよび静的分析レポートで使用可能な出力ファイル形式です。次の例は、静的分析レポートで SARIF を手動で設定する方法を示しています。

Reports:
MySAReport:
Format: SARIFSA
IncludePaths:
    - output/sa_report.json
SuccessCriteria:
    StaticAnalysisFinding:
    Number: 25
    Severity: HIGH

CodeCatalyst では、次の SARIF プロパティがサポートされています。これらのプロパティを使用して、レポートにおける分析結果の表示を最適化できます。

sarifLog オブジェクト

名前 必要 説明

$schema

可能

バージョン 2.1.0 の SARIF JSON スキーマの URI です。

version

可能

CodeCatalyst は、SARIF バージョン 2.1.0 のみをサポートしています。

runs[]

可能

SARIF ファイルには 1 つまたは複数の実行で構成された配列が含まれており、それぞれが分析ツールの単一の実行を表します。

run オブジェクト

名前 必要 説明

tool.driver

可能

分析ツールを説明する toolComponent オブジェクトです。

tool.name

不可

分析の実行に使用されるツールの名前を示すプロパティです。

results[]

可能

CodeCatalyst に表示される分析ツールの結果です。

toolComponent オブジェクト

名前 必要 説明

name

可能

分析ツールの名前です。

properties.artifactScanned

不可

分析ツールで分析されたアーティファクトの合計数です。

rules[]

可能

ルールを表す reportingDescriptor オブジェクトの配列です。分析ツールでは、これらのルールに基づいて、分析されたコードの問題を検出します。

reportingDescriptor オブジェクト

名前 必要 説明

id

可能

検出結果の参照に使用される、ルールの一意の識別子です。

最大長: 1,024 文字

name

不可

ルールの表示名です。

最大長: 1,024 文字

shortDescription.text

不可

ルールの短い説明です。

最大長: 3,000 文字

fullDescription.text

不可

ルールの完全な説明です。

最大長: 3,000 文字

helpUri

不可

ルールのプライマリドキュメントの絶対 URI を含むようにローカライズできる文字列です。

最大長: 3,000 文字

properties.unscore

不可

スキャンの検出結果がスコアリングされているかを示すフラグです。

properties.score.severity

不可

検出結果の重要度レベルを指定する固定された文字列セットです。

最大長: 1,024 文字

properties.cvssv3_baseSeverity

不可

Common Vulnerability Scoring System v3.1 に基づく重要度の定性評価です。

properties.cvssv3_baseScore

不可

CVSS v3 ベーススコアの範囲は 0.0~10.0 です。

properties.cvssv2_severity

不可

CVSS v3 値が存在しない場合、CodeCatalyst は CVSS v2 値を検索します。

properties.cvssv2_score

不可

CVSS v2 ベーススコアの範囲は 0.0~10.0 です。

properties.severity

不可

検出結果の重要度レベルを指定する固定された文字列セットです。

最大長: 1,024 文字

defaultConfiguration.level

不可

ルールのデフォルトの重要度です。

result オブジェクト

名前 必要 説明

ruleId

可能

検出結果の参照に使用される、ルールの一意の識別子です。

最大長: 1,024 文字

ruleIndex

可能

ツールコンポーネント rules[] 内で関連付けられたルールのインデックスです。

message.text

可能

結果を説明するメッセージです。各検出結果に対してメッセージを表示します。

最大長: 3,000 文字

rank

不可

結果の優先度、すなわち重要度を 0.0~100.0 の範囲で表す値です。このスケール値では、0.0 が最低優先度、100.0 が最高優先度を示します。

level

不可

結果の重要度です。

最大長: 1,024 文字

properties.unscore

不可

スキャンの検出結果がスコアリングされているかを示すフラグです。

properties.score.severity

不可

検出結果の重要度レベルを指定する固定された文字列セットです。

最大長: 1,024 文字

properties.cvssv3_baseSeverity

不可

Common Vulnerability Scoring System v3.1 に基づく重要度の定性評価です。

properties.cvssv3_baseScore

不可

CVSS v3 ベーススコアの範囲は 0.0~10.0 です。

properties.cvssv2_severity

不可

CVSS v3 値が存在しない場合、CodeCatalyst は CVSS v2 値を検索します。

properties.cvssv2_score

不可

CVSS v2 ベーススコアの範囲は 0.0~10.0 です。

properties.severity

不可

検出結果の重要度レベルを指定する固定された文字列セットです。

最大長: 1,024 文字

locations[]

可能

結果が検出された場所のセットです。問題を修正するためにすべての指定された場所で変更が必要な場合を除き、1 つの場所のみを含めます。CodeCatalyst は、location 配列内の最初の値を使用して結果に注釈を付けます。

location オブジェクトの最大数: 10

relatedLocations[]

不可

検出結果に関連する他の場所の参照リストです。

location オブジェクトの最大数: 50

fixes[]

不可

スキャンツールで提供される修正推奨を示す fix オブジェクトの配列です。CodeCatalyst は、fixes 配列内の最初の修正推奨を使用します。

location オブジェクト

名前 必要 説明

physicalLocation

可能

アーティファクトとリージョンを識別します。

logicalLocations[]

不可

アーティファクトを参照せずに名前で示される場所のセットです。

physicalLocation オブジェクト

名前 必要 説明

artifactLocation.uri

可能

アーティファクトの場所を示す URI です。通常は、リポジトリ内に存在するファイルまたはビルド中に生成されるファイルを指します。

fileLocation.uri

不可

ファイルの場所を示すフォールバック URI です。これは、artifactLocation.uri が空を返す場合に使用されます。

region.startLine

可能

そのリージョン内で最初に文字が存在する行番号です。

region.startColumn

可能

そのリージョン内で最初に文字が存在する列番号です。

region.endLine

可能

そのリージョン内で最後に文字が存在する行番号です。

region.endColumn

可能

そのリージョン内で最後に文字が存在する列番号です。

logicalLocation オブジェクト

名前 必要 説明

fullyQualifiedName

不可

結果の場所を示す追加情報です。

最大長: 1,024 文字

fix オブジェクト

名前 必要 説明

description.text

不可

各検出結果に対する修正推奨を表示するメッセージです。

最大長: 3,000 文字

artifactChanges.[0].artifactLocation.uri

不可

更新する必要があるアーティファクトの場所を示す URI です。