支援的 SARIF 屬性

焦點模式

支援的 SARIF 屬性 - Amazon CodeCatalyst

sarifLog 物件 run 物件 toolComponent 物件 reportingDescriptor 物件 result 物件 location 物件 physicalLocation 物件 logicalLocation 物件 fix 物件

靜態分析結果交換格式 (SARIF) 是一種輸出檔案格式，可用於 Amazon CodeCatalyst 中的軟體合成分析 (SCA) 和靜態分析報告。下列範例示範如何在靜態分析報告中手動設定 SARIF：


Reports:
MySAReport:
Format: SARIFSA
IncludePaths:
    - output/sa_report.json
SuccessCriteria:
    StaticAnalysisFinding:
    Number: 25
    Severity: HIGH

CodeCatalyst 支援下列 SARIF 屬性，可用於最佳化分析結果在報告中的顯示方式。

`sarifLog` 物件

名稱	必要	描述
`$schema`	是	2.1.0 版 SARIF JSON 結構描述的 URI。
`version`	是	CodeCatalyst 僅支援 SARIF 2.1.0 版。
`runs[]`	是	SARIF 檔案包含一或多個執行的陣列，每個都代表分析工具的單一執行。

`run` 物件

名稱	必要	描述
`tool.driver`	是	描述分析工具的`toolComponent`物件。
`tool.name`	否	指出用於執行分析之工具名稱的屬性。
`results[]`	是	CodeCatalyst 上顯示的分析工具結果。

`toolComponent` 物件

名稱	必要	描述
`name`	是	分析工具的名稱。
`properties.artifactScanned`	否	工具分析的成品總數。
`rules[]`	是	代表規則的`reportingDescriptor`物件陣列。根據這些規則，分析工具會在所分析的程式碼中找到問題。

`reportingDescriptor` 物件

名稱	必要	描述
`id`	是	用於參考問題清單之規則的唯一識別符。長度上限：1，024 個字元
`name`	否	規則的顯示名稱。長度上限：1，024 個字元
`shortDescription.text`	否	規則的簡短描述。長度上限：3，000 個字元
`fullDescription.text`	否	規則的完整描述。長度上限：3，000 個字元
`helpUri`	否	可以當地語系化的字串，包含規則之主要文件的絕對 URI。長度上限：3，000 個字元
`properties.unscore`	否	指出掃描問題清單是否已評分的旗標。
`properties.score.severity`	否	指定調查結果嚴重性層級的固定字串集。長度上限：1，024 個字元
`properties.cvssv3_baseSeverity`	否	Common Vulnerability Scoring System v3.1 的定性嚴重性評分。
`properties.cvssv3_baseScore`	否	CVSS v3 基本分數範圍為 0.0 - 10.0。
`properties.cvssv2_severity`	否	如果 CVSS v3 值不可用，CodeCatalyst 會搜尋 CVSS v2 值。
`properties.cvssv2_score`	否	CVSS v2 基本分數範圍介於 0.0 到 10.0 之間。
`properties.severity`	否	指定調查結果嚴重性層級的固定字串集。長度上限：1，024 個字元
`defaultConfiguration.level`	否	規則的預設嚴重性。

`result` 物件

名稱	必要	描述
`ruleId`	是	用於參考問題清單之規則的唯一識別符。長度上限：1，024 個字元
`ruleIndex`	是	工具元件中相關聯規則的索引`rules[]`。
`message.text`	是	說明結果並顯示每個問題清單訊息的訊息。長度上限：3，000 個字元
`rank`	否	包含 0.0 到 100.0 之間的值，代表結果的優先順序或重要性。此比例值 0.0 為最低優先順序，100.0 為最高優先順序。
`level`	否	結果的嚴重性。長度上限：1，024 個字元
`properties.unscore`	否	指出掃描問題清單是否已評分的旗標。
`properties.score.severity`	否	指定調查結果嚴重性層級的固定字串集。長度上限：1，024 個字元
`properties.cvssv3_baseSeverity`	否	Common Vulnerability Scoring System v3.1 的定性嚴重性評分。
`properties.cvssv3_baseScore`	否	CVSS v3 基本分數範圍介於 0.0 到 10.0 之間。
`properties.cvssv2_severity`	否	如果 CVSS v3 值不可用，CodeCatalyst 會搜尋 CVSS v2 值。
`properties.cvssv2_score`	否	CVSS v2 基本分數範圍介於 0.0 到 10.0 之間。
`properties.severity`	否	指定調查結果嚴重性層級的固定字串集。長度上限：1，024 個字元
`locations[]`	是	偵測到結果的一組位置。除非問題只能透過在每個指定位置進行變更來修正，否則只應包含一個位置。CodeCatalyst 會使用位置陣列中的第一個值來註釋結果。 `location` 物件數量上限：10
`relatedLocations[]`	否	調查結果中其他位置參考的清單。 `location` 物件數量上限：50
`fixes[]`	否	代表掃描工具所提供建議的`fix`物件陣列。CodeCatalyst 使用`fixes`陣列中的第一個建議。

`location` 物件

名稱	必要	描述
`physicalLocation`	是	識別成品和區域。
`logicalLocations[]`	否	名稱描述的一組位置，不參考成品。

`physicalLocation` 物件

名稱	必要	描述
`artifactLocation.uri`	是	指出成品位置的 URI，通常是在儲存庫中或在建置期間產生的檔案。
`fileLocation.uri`	否	指示檔案位置的回退 URI。如果 `artifactLocation.uri`傳回空白，則會使用此項目。
`region.startLine`	是	區域中第一個字元的行號。
`region.startColumn`	是	區域中第一個字元的資料欄編號。
`region.endLine`	是	區域中最後一個字元的行號。
`region.endColumn`	是	區域中最後一個字元的資料欄編號。

`logicalLocation` 物件

名稱必要描述

名稱	必要	描述
`fullyQualifiedName`	否	描述結果位置的其他資訊。長度上限：1，024 個字元

fullyQualifiedName

否

描述結果位置的其他資訊。

長度上限：1，024 個字元

`fix` 物件

名稱必要描述

名稱	必要	描述
`description.text`	否	顯示每個問題清單建議的訊息。長度上限：3，000 個字元
`artifactChanges.[0].artifactLocation.uri`	否	URI 指出需要更新之成品的位置。

description.text

否

顯示每個問題清單建議的訊息。

長度上限：3，000 個字元

artifactChanges.[0].artifactLocation.uri

否

URI 指出需要更新之成品的位置。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

測試的最佳實務

使用工作流程部署

在本頁面

選取您的 Cookie 偏好設定

自訂 Cookie 偏好設定

必要

效能

功能

廣告

無法儲存 Cookie 偏好設定