支援的 SARIF 屬性 - Amazon CodeCatalyst
sarifLog 物件run 物件toolComponent 物件reportingDescriptor 物件result 物件location 物件physicalLocation 物件logicalLocation 物件fix 物件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

支援的 SARIF 屬性

Static Analysis Results Interchange Format (SARIF) 是一種輸出檔案格式,可在 Amazon CodeCatalyst 的軟體合成分析 (SCA) 和靜態分析報告中使用。下列範例示範如何在靜態分析報告中手動設定 SARIF:

Reports:
MySAReport:
Format: SARIFSA
IncludePaths:
    - output/sa_report.json
SuccessCriteria:
    StaticAnalysisFinding:
    Number: 25
    Severity: HIGH

CodeCatalyst 支援下列 SARIF 屬性,可用於最佳化分析結果在報告中的顯示方式。

sarifLog 物件

名稱 必要 描述

$schema

2.1.0 版 SARIF JSON 結構描述的 URI。

version

CodeCatalyst 僅支援 SARIF 2.1.0 版。

runs[]

SARIF 檔案包含一或多個執行的陣列,每個都代表分析工具的單一執行。

run 物件

名稱 必要 描述

tool.driver

描述分析工具的toolComponent物件。

tool.name

指出用於執行分析之工具名稱的 屬性。

results[]

CodeCatalyst 上顯示的分析工具結果。

toolComponent 物件

名稱 必要 描述

name

分析工具的名稱。

properties.artifactScanned

工具分析的成品總數。

rules[]

代表規則的reportingDescriptor物件陣列。根據這些規則,分析工具會在分析的程式碼中尋找問題。

reportingDescriptor 物件

名稱 必要 描述

id

用於參考問題清單之規則的唯一識別符。

長度上限:1,024 個字元

name

規則的顯示名稱。

長度上限:1,024 個字元

shortDescription.text

規則的縮短描述。

長度上限:3,000 個字元

fullDescription.text

規則的完整描述。

長度上限:3,000 個字元

helpUri

可當地語系化為包含規則之主要文件的絕對 URI 的字串。

長度上限:3,000 個字元

properties.unscore

指出掃描問題清單是否已評分的旗標。

properties.score.severity

指定調查結果嚴重性層級的一組固定字串。

長度上限:1,024 個字元

properties.cvssv3_baseSeverity

常見漏洞評分系統的定性嚴重性評分 3.1 版。

properties.cvssv3_baseScore

CVSS v3 基本分數範圍介於 0.0 - 10.0。

properties.cvssv2_severity

如果 CVSS v3 值無法使用,CodeCatalyst 會搜尋 CVSS v2 值。

properties.cvssv2_score

CVSS v2 基本分數範圍介於 0.0 - 10.0。

properties.severity

指定調查結果嚴重性層級的一組固定字串。

長度上限:1,024 個字元

defaultConfiguration.level

規則的預設嚴重性。

result 物件

名稱 必要 描述

ruleId

用於參考問題清單之規則的唯一識別符。

長度上限:1,024 個字元

ruleIndex

工具元件 中相關聯規則的索引rules[]

message.text

說明結果並顯示每個調查結果訊息的訊息。

長度上限:3,000 個字元

rank

介於 0.0 到 100.0 之間的值,代表結果的優先順序或重要性。此比例值 0.0 是最低的優先順序,100.0 是最高優先順序。

level

結果的嚴重性。

長度上限:1,024 個字元

properties.unscore

指出掃描問題清單是否已評分的旗標。

properties.score.severity

指定調查結果嚴重性層級的一組固定字串。

長度上限:1,024 個字元

properties.cvssv3_baseSeverity

Common Vulnerability Scoring System v3.1 的定性嚴重性評分。

properties.cvssv3_baseScore

CVSS v3 基本分數範圍介於 0.0 - 10.0。

properties.cvssv2_severity

如果 CVSS v3 值無法使用,CodeCatalyst 會搜尋 CVSS v2 值。

properties.cvssv2_score

CVSS v2 基本分數範圍介於 0.0 - 10.0。

properties.severity

指定調查結果嚴重性層級的一組固定字串。

長度上限:1,024 個字元

locations[]

偵測到結果的一組位置。除非問題只能透過在每個指定位置進行變更來修正,否則只應包含一個位置。CodeCatalyst 會使用位置陣列中的第一個值來註釋結果。

location 物件數量上限:10

relatedLocations[]

調查結果中其他位置參考的清單。

location 物件數量上限:50

fixes[]

代表掃描工具所提供建議的fix物件陣列。CodeCatalyst 使用fixes陣列中的第一個建議。

location 物件

名稱 必要 描述

physicalLocation

識別成品和區域。

logicalLocations[]

名稱描述的一組位置,不參考成品。

physicalLocation 物件

名稱 必要 描述

artifactLocation.uri

指示成品位置的 URI,通常是在儲存庫中或在建置期間產生的檔案。

fileLocation.uri

指示檔案位置的倒退 URI。如果 artifactLocation.uri傳回空白,則會使用此項目。

region.startLine

區域中第一個字元的行號。

region.startColumn

區域中第一個字元的資料欄編號。

region.endLine

區域中最後一個字元的行號。

region.endColumn

區域中最後一個字元的資料欄編號。

logicalLocation 物件

名稱 必要 描述

fullyQualifiedName

描述結果位置的其他資訊。

長度上限:1,024 個字元

fix 物件

名稱 必要 描述

description.text

顯示每個問題清單建議的訊息。

長度上限:3,000 個字元

artifactChanges.[0].artifactLocation.uri

URI 指出需要更新的成品位置。