翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Static Analysis Results Interchange Format (SARIF) は、Amazon CodeCatalyst のソフトウェア構成分析 (SCA) レポートおよび静的分析レポートで使用可能な出力ファイル形式です。次の例は、静的分析レポートで SARIF を手動で設定する方法を示しています。
Reports:
MySAReport:
Format: SARIFSA
IncludePaths:
- output/sa_report.json
SuccessCriteria:
StaticAnalysisFinding:
Number: 25
Severity: HIGHCodeCatalyst では、次の SARIF プロパティがサポートされています。これらのプロパティを使用して、レポートにおける分析結果の表示を最適化できます。
トピック
sarifLog オブジェクト
| 名前 | 必要 | 説明 |
|---|---|---|
|
|
はい |
バージョン 2.1.0 |
|
|
はい |
CodeCatalyst は、SARIF バージョン 2.1.0 のみをサポートしています。 |
|
|
はい |
SARIF ファイルには 1 つまたは複数の実行で構成された配列が含まれており、それぞれが分析ツールの単一の実行を表します。 |
run オブジェクト
| 名前 | 必要 | 説明 |
|---|---|---|
|
|
はい |
分析ツールを説明する |
|
|
いいえ |
分析の実行に使用されるツールの名前を示すプロパティです。 |
|
|
はい |
CodeCatalyst に表示される分析ツールの結果です。 |
toolComponent オブジェクト
| 名前 | 必要 | 説明 |
|---|---|---|
|
|
はい |
分析ツールの名前です。 |
|
|
いいえ |
分析ツールで分析されたアーティファクトの合計数です。 |
|
|
はい |
ルールを表す |
reportingDescriptor オブジェクト
| 名前 | 必要 | 説明 |
|---|---|---|
|
|
はい |
検出結果の参照に使用される、ルールの一意の識別子です。 最大長: 1,024 文字 |
|
|
いいえ |
ルールの表示名です。 最大長: 1,024 文字 |
|
|
いいえ |
ルールの短い説明です。 最大長: 3,000 文字 |
|
|
いいえ |
ルールの完全な説明です。 最大長: 3,000 文字 |
|
|
いいえ |
ルールのプライマリドキュメントの絶対 URI を含むようにローカライズできる文字列です。 最大長: 3,000 文字 |
|
|
いいえ |
スキャンの検出結果がスコアリングされているかを示すフラグです。 |
|
|
いいえ |
検出結果の重要度レベルを指定する固定された文字列セットです。 最大長: 1,024 文字 |
|
|
いいえ |
Common Vulnerability Scoring System v3.1 |
|
|
いいえ |
CVSS v3 ベーススコアの範囲は 0.0~10.0 |
|
|
いいえ |
CVSS v3 値が存在しない場合、CodeCatalyst は CVSS v2 値を検索します。 |
|
|
いいえ |
CVSS v2 ベーススコアの範囲は 0.0~10.0 |
|
|
いいえ |
検出結果の重要度レベルを指定する固定された文字列セットです。 最大長: 1,024 文字 |
|
|
いいえ |
ルールのデフォルトの重要度です。 |
result オブジェクト
| 名前 | 必要 | 説明 |
|---|---|---|
|
|
はい |
検出結果の参照に使用される、ルールの一意の識別子です。 最大長: 1,024 文字 |
|
|
はい |
ツールコンポーネント |
|
|
はい |
結果を説明するメッセージです。各検出結果に対してメッセージを表示します。 最大長: 3,000 文字 |
|
|
いいえ |
結果の優先度、すなわち重要度を 0.0~100.0 の範囲で表す値です。このスケール値では、0.0 が最低優先度、100.0 が最高優先度を示します。 |
|
|
いいえ |
結果の重要度です。 最大長: 1,024 文字 |
|
|
いいえ |
スキャンの検出結果がスコアリングされているかを示すフラグです。 |
|
|
いいえ |
検出結果の重要度レベルを指定する固定された文字列セットです。 最大長: 1,024 文字 |
|
|
いいえ |
Common Vulnerability Scoring System v3.1 |
|
|
いいえ |
CVSS v3 ベーススコアの範囲は 0.0~10.0 |
|
|
いいえ |
CVSS v3 値が存在しない場合、CodeCatalyst は CVSS v2 値を検索します。 |
|
|
いいえ |
CVSS v2 ベーススコアの範囲は 0.0~10.0 |
|
|
いいえ |
検出結果の重要度レベルを指定する固定された文字列セットです。 最大長: 1,024 文字 |
|
|
はい |
結果が検出された場所のセットです。問題を修正するためにすべての指定された場所で変更が必要な場合を除き、1 つの場所のみを含めます。CodeCatalyst は、location 配列内の最初の値を使用して結果に注釈を付けます。
|
|
|
いいえ |
検出結果に関連する他の場所の参照リストです。
|
|
|
いいえ |
スキャンツールで提供される修正推奨を示す |
location オブジェクト
| 名前 | 必要 | 説明 |
|---|---|---|
|
|
はい |
アーティファクトとリージョンを識別します。 |
|
|
いいえ |
アーティファクトを参照せずに名前で示される場所のセットです。 |
physicalLocation オブジェクト
| 名前 | 必要 | 説明 |
|---|---|---|
|
|
はい |
アーティファクトの場所を示す URI です。通常は、リポジトリ内に存在するファイルまたはビルド中に生成されるファイルを指します。 |
|
|
いいえ |
ファイルの場所を示すフォールバック URI です。これは、 |
|
|
はい |
そのリージョン内で最初に文字が存在する行番号です。 |
|
|
はい |
そのリージョン内で最初に文字が存在する列番号です。 |
|
|
はい |
そのリージョン内で最後に文字が存在する行番号です。 |
|
|
はい |
そのリージョン内で最後に文字が存在する列番号です。 |
logicalLocation オブジェクト
| 名前 | 必要 | 説明 |
|---|---|---|
|
|
いいえ |
結果の場所を示す追加情報です。 最大長: 1,024 文字 |
fix オブジェクト
| 名前 | 必要 | 説明 |
|---|---|---|
|
|
いいえ |
各検出結果に対する修正推奨を表示するメッセージです。 最大長: 3,000 文字 |
|
|
いいえ |
更新する必要があるアーティファクトの場所を示す URI です。 |
