sarif tutorials

SARIF, el formato de intercambio de resultados de análisis estático, define un formato estándar para la salida de herramientas de análisis estático. Es un formato poderoso y sofisticado adecuado para las necesidades de una amplia variedad de herramientas. ¡Por esta razón, y porque el formato se define en una especificación de más de 220 páginas escrita en lenguaje formal! - Puede ser difícil aprender SARIF y descubrir qué partes necesita usar.

Estos tutoriales apuntan a presentar SARIF de una manera más accesible. Comenzaremos con algunos antecedentes: ¿por qué necesitamos Sarif? ¿De dónde vino? ¿Qué puede hacer? Luego nos sumergiremos en el formato, explorando primero los conceptos más básicos, luego pasaremos a conceptos más avanzados.

Los conceptos avanzados generalmente se aplican solo a un subconjunto de productores y consumidores de SARIF, por lo que no es para leer todo. Simplemente lea el material introductorio, luego elija y elija los temas adicionales que le interesan.

Puede encontrar los archivos de muestra que se muestran en los tutoriales en el directorio samples . Todos son archivos SARIF válidos a menos que diga lo contrario.

A veces, los tutoriales se vinculan a una sección de la especificación SARIF para obtener información más detallada o descripciones de escenarios avanzados. Estos enlaces se ven así: §3.13: objeto sariflog y apuntan a la versión HTML de la especificación. También hay versiones PDF y .docx en la carpeta SARIF 2.1.0 CS01 (Especificación del Comité 1) en el sitio web de OASIS.

La especificación es definitiva (y si queremos ser realmente técnica, la versión .docx de la especificación es definitiva, pero supongamos que no hay errores en los convertidores PDF o HTML). Si parece que algo en estos tutoriales no está de acuerdo con la especificación, hágamelo saber y arreglaré los tutoriales o me aseguraré de que se presente un error contra la especificación.

La especificación SARIF es una especificación del comité de OASIS. Pero a pesar del hecho de que soy el coeditor (con Michael Fanning) y las palabras primarias de la especificación, estos tutoriales no son un producto de trabajo de Oasis o respaldados por OASIS de ninguna manera. Representan mi interpretación personal y explicación del estándar.

Estos tutoriales ahora contienen suficiente información para brindarle una sólida experiencia en SARIF. Como verá en las entradas "TODO" en la tabla de contenido, hay mucho más sobre el que me gustaría escribir. Pero estos son temas avanzados que abordaré cuando tenga tiempo.

Si desea una explicación de una función SARIF que no he cubierto, hágamelo saber presentando un problema en este repositorio

• Introducción
  • ¿Qué es Sarif?
  • Acerca de las herramientas de análisis estático
  • ¿Por qué Sarif?
  • Un ejemplo simple
  • El plan para estos tutoriales
• Lo básico
  • El archivo de registro y el modelo de objeto
  • Registros y ejecuciones
  • Herramientas: conductor y extensiones
  • Bolsas de propiedad
  • Resultados
    • Mensaje
    • Identificador de reglas
    • Nivel
    • Ubicación
      • La matriz locations
      • Ubicaciones físicas y lógicas
  • Artefactos
    • Definición de artefactos
    • Vinculación de resultados con artefactos
  • Metadatos de regla
• Más allá de lo básico
  • Ubicaciones relacionadas
  • Más sobre mensajes
    • Mensajes de markdown
    • Mensajes de metadatos
    • Mensajes con argumentos
    • Mensajes con enlaces incrustados
      • Enlaces en texto y markdown
      • Enlaces a ubicaciones
  • Invocaciones
  • Notificaciones
    • Notificación de ejecución de herramientas y notificaciones de configuración de herramientas
    • Notificaciones versus resultados
  • Taxonomías
  • Flujos de código
  • Automatización
    • Las propiedades id y guid
    • La propiedad correlationGuid
• Temas avanzados
  • Extensiones de herramientas (TODO)
  • Traducciones (TODO)
  • Manejo de archivos grandes (TODO)
  • Matriota de resultados (TODO)
  • El esquema sarif: URI (TODO)
• Apéndices
  • Fitness para el propósito: una descripción general
  • Fitness para el propósito: presentación automática de errores
  • Autorando metadatos de reglas y mensajes de resultados
  • Mostrar resultados en un espectador
  • El sarif multiTool
  • La historia de Sarif (TODO)
  • Glosario
  • Recursos

Este proyecto da la bienvenida a las contribuciones y sugerencias. La mayoría de las contribuciones requieren que acepte un Acuerdo de Licencia de Contributor (CLA) que declare que tiene derecho y realmente hacernos los derechos para utilizar su contribución. Para más detalles, visite https://cla.opensource.microsoft.com.

Cuando envíe una solicitud de extracción, un BOT CLA determinará automáticamente si necesita proporcionar un CLA y decorar el PR adecuadamente (por ejemplo, verificación de estado, comentario). Simplemente siga las instrucciones proporcionadas por el bot. Solo necesitará hacer esto una vez en todos los reposos usando nuestro CLA.

Este proyecto ha adoptado el Código de Conducta Open Open Microsoft. Para obtener más información, consulte el Código de Conducta Preguntas frecuentes o comuníquese con [email protected] con cualquier pregunta o comentario adicional.

Microsoft y cualquier contribuyente le otorgan una licencia a la documentación de Microsoft y otro contenido en este repositorio bajo la licencia pública internacional de Creative Commons Attribution 4.0, consulte el archivo de licencia y le otorgue una licencia a cualquier código en el repositorio bajo la licencia MIT, consulte el archivo de código de licencia.

Microsoft, Windows, Microsoft Azure y/u otros productos y servicios de Microsoft referenciados en la documentación pueden ser marcas comerciales o marcas registradas de Microsoft en los Estados Unidos y/u otros países. Las licencias para este proyecto no le otorgan derechos para usar nombres, logotipos o marcas comerciales de Microsoft. Las pautas de marca registrada de Microsoft se pueden encontrar en http://go.microsoft.com/fwlink/?linkid=254653.

La información de privacidad se puede encontrar en https://privacy.microsoft.com/en-us/

Microsoft y cualquier contribuyente reserva todos los demás derechos, ya sea bajo sus respectivos derechos de autor, patentes o marcas comerciales, ya sea por implicación, impedimento o de otra manera.