サポートされているSARIFプロパティ

Static Analysis Results Interchange Format (SARIF) は、Amazon のソフトウェアコンポジション分析 (SCA) および静的分析レポートで使用できる出力ファイル形式です CodeCatalyst。次の例は、静的分析レポートSARIFで手動で を設定する方法を示しています。

Reports:
MySAReport:
Format: SARIFSA
IncludePaths:
    - output/sa_report.json
SuccessCriteria:
    StaticAnalysisFinding:
    Number: 25
    Severity: HIGH

CodeCatalyst では、分析結果がレポートにどのように表示されるかを最適化するために使用できる次のSARIFプロパティがサポートされています。

sarifLog オブジェクト

名前	必要	説明
$schema	可能	バージョン 2.1.0 URIのSARIFJSONスキーマの 。 https://json.schemastore.org/sarif-2.1.0.json
version	可能	CodeCatalyst はSARIFバージョン 2.1.0 のみをサポートします。
runs[]	可能	SARIF ファイルには 1 つ以上の実行の配列が含まれており、それぞれが分析ツールの 1 回の実行を表します。

run オブジェクト

名前	必要	説明
tool.driver	可能	分析ツールを説明するtoolComponentオブジェクト。
tool.name	不可	分析の実行に使用されるツールの名前を示すプロパティ。
results[]	可能	に表示される分析ツールの結果 CodeCatalyst。

toolComponent オブジェクト

名前	必要	説明
name	可能	分析ツールの名前。
properties.artifactScanned	不可	ツールによって分析されたアーティファクトの合計数。
rules[]	可能	ルールを表すreportingDescriptorオブジェクトの配列。これらのルールに基づいて、分析ツールは分析されるコードに問題を見つけます。

reportingDescriptor オブジェクト

名前	必要	説明
id	可能	結果の参照に使用されるルールの一意の識別子。 最大長: 1,024 文字
name	不可	ルールの表示名。 最大長: 1,024 文字
shortDescription.text	不可	ルールの短縮された説明。 最大長: 3,000 文字
fullDescription.text	不可	ルールの完全な説明。 最大長: 3,000 文字
helpUri	不可	ルールのプライマリドキュメントURIの絶対数を含むようにローカライズできる文字列。 最大長: 3,000 文字
properties.unscore	不可	スキャン結果にスコアが付けられたかどうかを示すフラグ。
properties.score.severity	不可	結果の重要度レベルを指定する固定文字列セット。 最大長: 1,024 文字
properties.cvssv3_baseSeverity	不可	Common Vulnerability Scoring System v3.1 の定性的重要度評価。
properties.cvssv3_baseScore	不可	0.0～10.0 の範囲の CVSS v3 ベーススコア。 https://nvd.nist.gov/vuln-metrics/cvss
properties.cvssv2_severity	不可	v3 CVSS 値が使用できない場合、 は v2 CVSS 値 CodeCatalyst を検索します。
properties.cvssv2_score	不可	0.0～10.0 の範囲の CVSS v2 ベーススコア。
properties.severity	不可	結果の重要度レベルを指定する固定文字列セット。 最大長: 1,024 文字
defaultConfiguration.level	不可	ルールのデフォルトの重要度。

result オブジェクト

名前	必要	説明
ruleId	可能	結果の参照に使用されるルールの一意の識別子。 最大長: 1,024 文字
ruleIndex	可能	ツールコンポーネント 内の関連付けられたルールのインデックスrules[]。
message.text	可能	結果について説明し、各結果のメッセージを表示するメッセージ。 最大長: 3,000 文字
rank	不可	結果の優先度または重要度を表す 0.0～100.0 の値。このスケール値 0.0 が最低優先度、100.0 が最高優先度です。
level	不可	結果の重要度。 最大長: 1,024 文字
properties.unscore	不可	スキャン結果にスコアが付けられたかどうかを示すフラグ。
properties.score.severity	不可	結果の重要度レベルを指定する固定文字列セット。 最大長: 1,024 文字
properties.cvssv3_baseSeverity	不可	Common Vulnerability Scoring System v3.1 の定性的重要度評価。
properties.cvssv3_baseScore	不可	0.0～10.0 の範囲の CVSS v3 ベーススコア。
properties.cvssv2_severity	不可	v3 CVSS 値が使用できない場合、 は v2 CVSS 値 CodeCatalyst を検索します。
properties.cvssv2_score	不可	0.0～10.0 の範囲の CVSS v2 ベーススコア。
properties.severity	不可	結果の重要度レベルを指定する固定文字列セット。 最大長: 1,024 文字
locations[]	可能	結果が検出された場所のセット。指定されたすべての場所で変更を行うことによってのみ問題を修正できる場合を除き、1 つのロケーションのみを含める必要があります。 CodeCatalyst は、ロケーション配列の最初の値を使用して結果に注釈を付けます。 location オブジェクトの最大数: 10
relatedLocations[]	不可	検出結果内の追加のロケーションリファレンスのリスト。 location オブジェクトの最大数: 50
fixes[]	不可	スキャンツールによって提供されるレコメンデーションを表すfixオブジェクトの配列。 は、fixes配列内の最初のレコメンデーション CodeCatalyst を使用します。

location オブジェクト

名前	必要	説明
physicalLocation	可能	アーティファクトとリージョンを識別します。
logicalLocations[]	不可	アーティファクトを参照せずに名前で記述される場所のセット。

physicalLocation オブジェクト

名前	必要	説明
artifactLocation.uri	可能	アーティファクトの場所URIを示す 。通常は、リポジトリ内またはビルド中に生成されたファイルです。
fileLocation.uri	不可	ファイルの場所URIを示すフォールバック。これは、 が空の artifactLocation.uriを返す場合に使用されます。
region.startLine	可能	リージョンの最初の文字の行番号。
region.startColumn	可能	リージョンの最初の文字の列番号。
region.endLine	可能	リージョン内の最後の文字の行番号。
region.endColumn	可能	リージョン内の最後の文字の列番号。

logicalLocation オブジェクト

名前	必要	説明
fullyQualifiedName	不可	結果の場所を説明する追加情報。 最大長: 1,024 文字

fix オブジェクト

名前	必要	説明
description.text	不可	各検出結果のレコメンデーションを表示するメッセージ。 最大長: 3,000 文字
artifactChanges.[0].artifactLocation.uri	不可	更新する必要があるアーティファクトの場所URIを示す 。