sarif tutorials
1.0.0
Sarif, das statische Analyseergebnisse, definiert ein Standardformat für die Ausgabe statischer Analysewerkzeuge. Es ist ein leistungsstarkes und ausgefeiltes Format, das den Bedürfnissen einer Vielzahl von Werkzeugen entspricht. Aus diesem Grund-und weil das Format in einer über 220 Seitenspezifikation in formalen Sprache geschriebenen Seitenspezifikation definiert ist! - Es kann schwierig sein, Sarif zu lernen und herauszufinden, welche Teile davon Sie verwenden müssen.
Diese Tutorials zielen darauf ab, Sarif auf eine ansprechbare Weise zu präsentieren. Wir beginnen mit etwas Hintergrund: Warum brauchen wir Sarif? Woher kommt es? Was kann es tun? Dann werden wir uns mit dem Format eintauchen, zuerst die grundlegendsten Konzepte untersuchen und dann zu fortgeschritteneren Konzepten übergehen.
Die fortgeschrittenen Konzepte gelten normalerweise nur für eine Untergruppe von Sarif -Produzenten und -verbrauchern, sodass Sie nicht alles lesen. Lesen Sie einfach das Einführungsmaterial und wählen Sie dann die zusätzlichen Themen aus, die Sie interessieren.
Sie finden die Beispieldateien, die in den Tutorials unter dem samples angezeigt werden. Sie sind alle gültige SARIF -Dateien, es sei denn, ich sage etwas anderes.
Manchmal verlinken die Tutorials zu einem Abschnitt der SARIF -Spezifikation, um detailliertere Informationen oder Beschreibungen erweiterter Szenarien zu erhalten. Diese Links sehen so aus: §3.13: Sariflog -Objekt und sie weisen in die HTML -Version der Spezifikation hin. Es gibt auch PDF- und .docx -Versionen im Sarif 2.1.0 CS01 -Ordner (Ausschussspezifikation 1) auf der Oasis -Website.
Die Spezifikation ist endgültig (und wenn wir wirklich technisch werden möchten, ist die .docx -Version der Spezifikation definitiv, nehmen wir jedoch an, dass es keine Fehler in den PDF- oder HTML -Konvertern gibt). Wenn es so aussieht, als ob etwas in diesen Tutorials mit der Spezifikation nicht einverstanden ist, lassen Sie es mich wissen und ich werde entweder die Tutorials reparieren oder sicherstellen, dass ein Fehler gegen die Spezifikation eingereicht wird.
Die SARIF -Spezifikation ist eine Ausschussspezifikation aus Oasis. Trotz der Tatsache, dass ich der Mitherausgeber bin (mit Michael Fanning) und der Hauptwörterschmied der Spezifikation, sind diese Tutorials kein Oase-Arbeitsprodukt oder in irgendeiner Weise von Oasis gebilligt. Sie repräsentieren meine persönliche Interpretation und Erklärung des Standards.
Diese Tutorials enthalten jetzt genügend Informationen, um Ihnen einen soliden Hintergrund in Sarif zu erhalten. Wie Sie aus den "Todo" -Inträgen im Inhaltsverzeichnis sehen werden, würde ich noch viel mehr schreiben. Aber dies sind fortgeschrittene Themen, die ich ansprechen werde, wenn ich Zeit habe.
Wenn Sie eine Erklärung für eine Sarif -Funktion möchten, die ich nicht behandelt habe, teilen Sie mir bitte ein Problem in diesem Repo mit
locations Arrayid und guidcorrelationGuid -Eigenschaftsarif: URI -Schema (Todo)Dieses Projekt begrüßt Beiträge und Vorschläge. In den meisten Beiträgen müssen Sie einer Mitarbeiters Lizenzvereinbarung (CLA) zustimmen, in der Sie erklären, dass Sie das Recht haben und uns tatsächlich tun, um uns die Rechte zu gewähren, Ihren Beitrag zu verwenden. Weitere Informationen finden Sie unter https://cla.opensource.microsoft.com.
Wenn Sie eine Pull -Anfrage einreichen, bestimmt ein CLA -Bot automatisch, ob Sie einen CLA angeben und die PR angemessen dekorieren müssen (z. B. Statusprüfung, Kommentar). Befolgen Sie einfach die vom Bot bereitgestellten Anweisungen. Sie müssen dies nur einmal über alle Repos mit unserem CLA tun.
Dieses Projekt hat den Microsoft Open Source -Verhaltenscode übernommen. Weitere Informationen finden Sie im FAQ oder wenden Sie sich an [email protected] mit zusätzlichen Fragen oder Kommentaren.
Microsoft und alle Mitwirkenden erteilen Ihnen eine Lizenz für die Microsoft-Dokumentation und andere Inhalte in diesem Repository im Rahmen der Creative Commons Attribution 4.0 Internationale öffentliche Lizenz. Siehe die Lizenzdatei und gewähren Ihnen eine Lizenz für den Code im Repository im Rahmen der MIT-Lizenz, siehe Lizenzcode-Datei.
Microsoft, Windows, Microsoft Azure und/oder andere in der Dokumentation verwiesene Microsoft -Produkte und -Dienste können entweder Marken oder eingetragene Marken von Microsoft in den USA und/oder anderen Ländern sein. Die Lizenzen für dieses Projekt gewähren Ihnen keine Rechte, Microsoft -Namen, Logos oder Marken zu verwenden. Die allgemeinen Markenrichtlinien von Microsoft finden Sie unter http://go.microsoft.com/fwlink/?linkid=254653.
Datenschutzinformationen finden Sie unter https://privacy.microsoft.com/en-us/
Microsoft und alle Mitwirkenden reservieren alle anderen Rechte, sei es im Rahmen ihrer jeweiligen Urheberrechte, Patente oder Marken, sei es implizit, implizit, effoppel oder auf andere Weise.
