SARIFProperti yang didukung

Statis Analisis Hasil Interchange Format (SARIF) adalah format file output yang tersedia dalam analisis komposisi perangkat lunak (SCA) dan laporan analisis statis di Amazon CodeCatalyst. Contoh berikut menunjukkan cara mengkonfigurasi secara manual SARIF dalam laporan analisis statis:

Reports:
MySAReport:
Format: SARIFSA
IncludePaths:
    - output/sa_report.json
SuccessCriteria:
    StaticAnalysisFinding:
    Number: 25
    Severity: HIGH

CodeCatalyst mendukung SARIF properti berikut yang dapat digunakan untuk mengoptimalkan bagaimana hasil analisis akan muncul dalam laporan Anda.

Objek sarifLog

Nama	Wajib	Deskripsi
$schema	Ya	URISARIFJSONSkema untuk versi 2.1.0.
version	Ya	CodeCatalyst hanya mendukung SARIF versi 2.1.0.
runs[]	Ya	SARIFFile berisi array dari satu atau lebih run, yang masing-masing mewakili satu run alat analisis.

Objek run

Nama	Wajib	Deskripsi
tool.driver	Ya	toolComponentObjek yang menggambarkan alat analisis.
tool.name	Tidak	Properti yang menunjukkan nama alat yang digunakan untuk melakukan analisis.
results[]	Ya	Hasil alat analisis yang ditampilkan pada CodeCatalyst.

Objek toolComponent

Nama	Wajib	Deskripsi
name	Ya	Nama alat analisis.
properties.artifactScanned	Tidak	Sejumlah artefak dianalisis oleh alat.
rules[]	Ya	Sebuah array reportingDescriptor objek yang mewakili aturan. Berdasarkan aturan ini, alat analisis menemukan masalah dalam kode yang dianalisis.

Objek reportingDescriptor

Nama	Wajib	Deskripsi
id	Ya	Pengidentifikasi unik untuk aturan yang digunakan untuk referensi temuan. Panjang maksimal: 1.024 karakter
name	Tidak	Nama tampilan aturan. Panjang maksimal: 1.024 karakter
shortDescription.text	Tidak	Deskripsi singkat tentang aturan tersebut. Panjang maksimum: 3.000 karakter
fullDescription.text	Tidak	Deskripsi lengkap tentang aturan tersebut. Panjang maksimum: 3.000 karakter
helpUri	Tidak	Sebuah string yang dapat dilokalkan untuk berisi absolut URI dari dokumentasi utama untuk aturan. Panjang maksimum: 3.000 karakter
properties.unscore	Tidak	Bendera yang menunjukkan apakah temuan pemindaian telah dinilai.
properties.score.severity	Tidak	Satu set string tetap yang menentukan tingkat keparahan temuan. Panjang maksimal: 1.024 karakter
properties.cvssv3_baseSeverity	Tidak	Peringkat keparahan kualitatif dari Common Vulnerability Scoring System v3.1.
properties.cvssv3_baseScore	Tidak	Skor Dasar CVSS v3 mulai dari 0,0 - 10,0.
properties.cvssv2_severity	Tidak	Jika nilai CVSS v3 tidak tersedia, CodeCatalyst cari nilai CVSS v2.
properties.cvssv2_score	Tidak	Skor Dasar CVSS v2 mulai dari 0,0 - 10,0.
properties.severity	Tidak	Satu set string tetap yang menentukan tingkat keparahan temuan. Panjang maksimal: 1.024 karakter
defaultConfiguration.level	Tidak	Tingkat keparahan default aturan.

Objek result

Nama	Wajib	Deskripsi
ruleId	Ya	Pengidentifikasi unik untuk aturan yang digunakan untuk referensi temuan. Panjang maksimal: 1.024 karakter
ruleIndex	Ya	Indeks aturan terkait dalam komponen alatrules[].
message.text	Ya	Pesan yang menjelaskan hasil dan menampilkan pesan untuk setiap temuan. Panjang maksimum: 3.000 karakter
rank	Tidak	Nilai antara 0,0 hingga 100,0 inklusif yang mewakili prioritas atau pentingnya hasil. Nilai skala ini 0,0 menjadi prioritas terendah dan 100,0 menjadi prioritas tertinggi.
level	Tidak	Tingkat keparahan hasilnya. Panjang maksimal: 1.024 karakter
properties.unscore	Tidak	Bendera yang menunjukkan apakah temuan pemindaian telah dinilai.
properties.score.severity	Tidak	Satu set string tetap yang menentukan tingkat keparahan temuan. Panjang maksimal: 1.024 karakter
properties.cvssv3_baseSeverity	Tidak	Peringkat keparahan kualitatif dari Common Vulnerability Scoring System v3.1.
properties.cvssv3_baseScore	Tidak	Skor Dasar CVSS v3 mulai dari 0,0 - 10,0.
properties.cvssv2_severity	Tidak	Jika nilai CVSS v3 tidak tersedia, CodeCatalyst cari nilai CVSS v2.
properties.cvssv2_score	Tidak	Skor Dasar CVSS v2 mulai dari 0,0 - 10,0.
properties.severity	Tidak	Satu set string tetap yang menentukan tingkat keparahan temuan. Panjang maksimal: 1.024 karakter
locations[]	Ya	Kumpulan lokasi di mana hasilnya terdeteksi. Hanya satu lokasi yang harus disertakan kecuali masalahnya hanya dapat diperbaiki dengan membuat perubahan di setiap lokasi yang ditentukan. CodeCatalyst menggunakan nilai pertama dalam array lokasi untuk membubuhi keterangan hasilnya. Jumlah maksimum location objek: 10
relatedLocations[]	Tidak	Daftar referensi lokasi tambahan dalam temuan. Jumlah maksimum location objek: 50
fixes[]	Tidak	Array fix objek yang mewakili rekomendasi yang disediakan oleh alat pemindaian. CodeCatalyst menggunakan rekomendasi pertama dalam fixes array.

Objek location

Nama	Wajib	Deskripsi
physicalLocation	Ya	Mengidentifikasi artefak dan wilayah.
logicalLocations[]	Tidak	Kumpulan lokasi dijelaskan dengan nama tanpa mengacu pada artefak.

Objek physicalLocation

Nama	Wajib	Deskripsi
artifactLocation.uri	Ya	Yang URI menunjukkan lokasi artefak, biasanya file baik di repositori atau dihasilkan selama build.
fileLocation.uri	Tidak	Penurunan kembali URI menunjukkan lokasi file. Ini digunakan jika artifactLocation.uri kembali kosong.
region.startLine	Ya	Nomor baris karakter pertama di wilayah tersebut.
region.startColumn	Ya	Nomor kolom karakter pertama di wilayah tersebut.
region.endLine	Ya	Nomor baris karakter terakhir di wilayah tersebut.
region.endColumn	Ya	Nomor kolom karakter terakhir di wilayah tersebut.

Objek logicalLocation

Nama	Wajib	Deskripsi
fullyQualifiedName	Tidak	Informasi tambahan yang menggambarkan lokasi hasil. Panjang maksimal: 1.024 karakter

Objek fix

Nama	Wajib	Deskripsi
description.text	Tidak	Pesan yang menampilkan rekomendasi untuk setiap temuan. Panjang maksimum: 3.000 karakter
artifactChanges.[0].artifactLocation.uri	Tidak	Yang URI menunjukkan lokasi artefak yang perlu diperbarui.