sarifLog 物件 run 物件 toolComponent 物件 reportingDescriptor 物件 result 物件 location 物件 physicalLocation 物件 logicalLocation 物件 fix 物件

支援的SARIF屬性

靜態分析結果交換格式（SARIF）是一種輸出檔案格式，可在 Amazon 的軟體組成分析（SCA）和靜態分析報告中使用 CodeCatalyst。下列範例示範如何在靜態分析報告中手動設定 SARIF ：


Reports:
MySAReport:
Format: SARIFSA
IncludePaths:
    - output/sa_report.json
SuccessCriteria:
    StaticAnalysisFinding:
    Number: 25
    Severity: HIGH

CodeCatalyst 支援下列SARIF屬性，可用於最佳化分析結果在報告中的顯示方式。

主題

sarifLog 物件
run 物件
toolComponent 物件
reportingDescriptor 物件
result 物件
location 物件
physicalLocation 物件
logicalLocation 物件
fix 物件

`sarifLog` 物件

名稱	必要	描述
`$schema`	是	2.1.0 版SARIFJSON結構描述URI的。 https://json.schemastore.org/sarif-2.1.0.json
`version`	是	CodeCatalyst 僅支援 2.1.0 SARIF版。
`runs[]`	是	SARIF 檔案包含一或多個執行的陣列，每個執行都代表分析工具的單一執行。

`run` 物件

名稱	必要	描述
`tool.driver`	是	描述分析工具的`toolComponent`物件。
`tool.name`	否	表示用於執行分析之工具名稱的屬性。
`results[]`	是	顯示在上的分析工具結果 CodeCatalyst。

`toolComponent` 物件

名稱	必要	描述
`name`	是	分析工具的名稱。
`properties.artifactScanned`	否	工具分析的成品總數。
`rules[]`	是	代表規則的`reportingDescriptor`物件陣列。根據這些規則，分析工具會在分析的程式碼中尋找問題。

`reportingDescriptor` 物件

名稱	必要	描述
`id`	是	用於參考調查結果之規則的唯一識別符。長度上限：1，024 個字元
`name`	否	規則的顯示名稱。長度上限：1，024 個字元
`shortDescription.text`	否	規則的縮短描述。長度上限：3，000 個字元
`fullDescription.text`	否	規則的完整描述。長度上限：3，000 個字元
`helpUri`	否	可以當地語系化的字串，包含規則的主要文件URI的絕對值。長度上限：3，000 個字元
`properties.unscore`	否	指示掃描調查結果是否已評分的旗標。
`properties.score.severity`	否	指定調查結果嚴重性層級的一組固定字串。長度上限：1，024 個字元
`properties.cvssv3_baseSeverity`	否	Common Vulnerability Scoring System v3.1 的定性嚴重性評分。
`properties.cvssv3_baseScore`	否	CVSS v3 基本分數範圍介於 0.0 - 10.0 之間。
`properties.cvssv2_severity`	否	如果無法使用 CVSS v3 值，請 CodeCatalyst 搜尋 CVSS v2 值。
`properties.cvssv2_score`	否	CVSS v2 基本分數範圍介於 0.0 - 10.0。
`properties.severity`	否	指定調查結果嚴重性層級的一組固定字串。長度上限：1，024 個字元
`defaultConfiguration.level`	否	規則的預設嚴重性。

`result` 物件

名稱	必要	描述
`ruleId`	是	用於參考調查結果之規則的唯一識別符。長度上限：1，024 個字元
`ruleIndex`	是	工具元件中關聯規則的索引`rules[]`。
`message.text`	是	描述結果並顯示每個調查結果訊息的訊息。長度上限：3，000 個字元
`rank`	否	包含 0.0 到 100.0 之間的值，代表結果的優先順序或重要性。此規模值 0.0 是最低優先順序，100.0 是最高優先順序。
`level`	否	結果的嚴重性。長度上限：1，024 個字元
`properties.unscore`	否	指示掃描調查結果是否已評分的旗標。
`properties.score.severity`	否	指定調查結果嚴重性層級的一組固定字串。長度上限：1，024 個字元
`properties.cvssv3_baseSeverity`	否	Common Vulnerability Scoring System v3.1 的定性嚴重性評分。
`properties.cvssv3_baseScore`	否	CVSS v3 基本分數範圍介於 0.0 - 10.0 之間。
`properties.cvssv2_severity`	否	如果無法使用 CVSS v3 值，請 CodeCatalyst 搜尋 CVSS v2 值。
`properties.cvssv2_score`	否	CVSS v2 基本分數範圍介於 0.0 - 10.0。
`properties.severity`	否	指定調查結果嚴重性層級的一組固定字串。長度上限：1，024 個字元
`locations[]`	是	偵測到結果的位置集。除非問題只能透過在每個指定位置進行變更，否則只應包含一個位置。 CodeCatalyst 會使用位置陣列中的第一個值來註釋結果。 `location` 物件數量上限：10
`relatedLocations[]`	否	調查結果中其他位置參考的清單。 `location` 物件數量上限：50
`fixes[]`	否	代表掃描工具所提供建議的`fix`物件陣列。 CodeCatalyst 會使用`fixes`陣列中的第一個建議。

`location` 物件

名稱	必要	描述
`physicalLocation`	是	識別成品和區域。
`logicalLocations[]`	否	名稱描述的一組位置，不參考成品。

`physicalLocation` 物件

名稱	必要	描述
`artifactLocation.uri`	是	URI 指示成品的位置，通常是在儲存庫中或在建置期間產生的檔案。
`fileLocation.uri`	否	URI 指示檔案位置的退信。如果`artifactLocation.uri`傳回空白，則會使用此項目。
`region.startLine`	是	區域中第一個字元的行號。
`region.startColumn`	是	區域中第一個字元的欄編號。
`region.endLine`	是	區域中最後一個字元的行號。
`region.endColumn`	是	區域中最後一個字元的欄編號。

`logicalLocation` 物件

名稱必要描述

名稱	必要	描述
`fullyQualifiedName`	否	描述結果位置的其他資訊。長度上限：1，024 個字元

fullyQualifiedName

否

描述結果位置的其他資訊。

長度上限：1，024 個字元

`fix` 物件

名稱必要描述

名稱	必要	描述
`description.text`	否	顯示每個調查結果建議的訊息。長度上限：3，000 個字元
`artifactChanges.[0].artifactLocation.uri`	否	URI 指示需要更新成品的位置。

description.text

否

顯示每個調查結果建議的訊息。

長度上限：3，000 個字元

artifactChanges.[0].artifactLocation.uri

否

URI 指示需要更新成品的位置。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

測試的最佳實務

使用工作流程部署