sarif tutorials

Sarif, format pertukaran analisis statis, mendefinisikan format standar untuk output alat analisis statis. Ini adalah format yang kuat dan canggih yang sesuai dengan kebutuhan berbagai alat. Untuk alasan ini-dan karena format didefinisikan dalam spesifikasi halaman 220-plus yang ditulis dalam bahasa formal! - Mungkin sulit untuk belajar Sarif dan mencari tahu bagian mana yang perlu Anda gunakan.

Tutorial ini bertujuan untuk menyajikan Sarif dengan cara yang lebih mudah didekati. Kita akan mulai dengan beberapa latar belakang: Mengapa kita membutuhkan sarif? Dari mana asalnya? Apa yang bisa dilakukannya? Kemudian kita akan menyelami format, menjelajahi konsep paling dasar terlebih dahulu, kemudian beralih ke konsep yang lebih canggih.

Konsep canggih biasanya berlaku hanya untuk sebagian dari produsen dan konsumen sarif, jadi Anda tidak membaca semuanya. Cukup baca materi pengantar, lalu pilih dan pilih topik tambahan yang menarik minat Anda.

Anda dapat menemukan file sampel yang ditampilkan di tutorial di bawah direktori samples . Mereka semua adalah file sarif yang valid kecuali saya mengatakan sebaliknya.

Kadang -kadang, tautan tutorial ke bagian dari spesifikasi Sarif untuk informasi yang lebih rinci atau deskripsi skenario canggih. Tautan ini terlihat seperti ini: §3.13: objek sariflog dan mereka menunjuk ke versi html spec. Ada juga versi PDF dan .docx di folder Sarif 2.1.0 CS01 (Spesifikasi Komite 1) di situs web OASIS.

Spesifikasinya definitif (dan jika kita ingin menjadi sangat teknis, versi spesifikasi .docx itu pasti, tetapi mari kita asumsikan tidak ada bug di PDF atau konverter HTML). Jika sepertinya sesuatu dalam tutorial ini tidak setuju dengan spesifikasi, beri tahu saya dan saya akan memperbaiki tutorial atau memastikan bahwa bug diajukan terhadap spesifikasi.

Spesifikasi Sarif adalah spesifikasi komite dari OASIS. Namun terlepas dari kenyataan bahwa saya adalah co-editor (dengan Michael Fanning) dan wordsmith utama dari spesifikasi, tutorial ini bukan produk kerja oasis atau didukung oleh Oasis dengan cara apa pun. Mereka mewakili interpretasi pribadi saya dan penjelasan standar.

Tutorial ini sekarang berisi informasi yang cukup untuk memberi Anda latar belakang yang kuat dalam sarif. Seperti yang akan Anda lihat dari entri "Todo" di daftar isi, masih banyak yang ingin saya tulis. Tapi ini adalah topik canggih yang akan saya atasi ketika saya punya waktu.

Jika Anda ingin penjelasan fitur sarif yang belum saya bahas, beri tahu saya dengan mengajukan masalah dalam repo ini

• Perkenalan
  • Apa itu Sarif?
  • Tentang Alat Analisis Statis
  • Mengapa Sarif?
  • Contoh sederhana
  • Rencana untuk tutorial ini
• Dasar -dasarnya
  • File log dan model objek
  • Log dan lari
  • Alat: driver dan ekstensi
  • Tas properti
  • Hasil
    • Pesan
    • Pengidentifikasi aturan
    • Tingkat
    • Lokasi
      • locations Array
      • Lokasi fisik dan logis
  • Artefak
    • Mendefinisikan artefak
    • Menghubungkan hasil dengan artefak
  • Aturan metadata
• Di luar dasar -dasarnya
  • Lokasi terkait
  • Lebih banyak tentang pesan
    • Pesan Markdown
    • Pesan dari metadata
    • Pesan dengan argumen
    • Pesan dengan tautan tertanam
      • Tautan dalam teks dan penurunan harga
      • Tautan ke lokasi
  • Doa
  • Pemberitahuan
    • Pemberitahuan eksekusi alat dan pemberitahuan konfigurasi alat
    • Pemberitahuan vs Hasil
  • Taksonomi
  • Aliran Kode
  • Otomatisasi
    • Properti id dan guid
    • Properti correlationGuid
• Topik lanjutan
  • Ekstensi Alat (Todo)
  • Terjemahan (TODO)
  • Menangani File Besar (Todo)
  • Pencocokan hasil (TODO)
  • The sarif: URI Skema (TODO)
• Lampiran
  • Kebugaran untuk Tujuan: Gambaran Umum
  • Kebugaran untuk Tujuan: Pengajuan Bug Otomatis
  • Metadata aturan aturan dan pesan hasil
  • Menampilkan hasil di penampil
  • The Sarif Multitool
  • Sejarah Sarif (Todo)
  • Glosarium
  • Sumber daya

Proyek ini menyambut kontribusi dan saran. Sebagian besar kontribusi mengharuskan Anda untuk menyetujui perjanjian lisensi kontributor (CLA) yang menyatakan bahwa Anda memiliki hak untuk, dan benar -benar melakukannya, beri kami hak untuk menggunakan kontribusi Anda. Untuk detailnya, kunjungi https://cla.opensource.microsoft.com.

Saat Anda mengirimkan permintaan tarik, bot CLA akan secara otomatis menentukan apakah Anda perlu memberikan CLA dan menghiasi PR secara tepat (misalnya, pemeriksaan status, komentar). Cukup ikuti instruksi yang disediakan oleh bot. Anda hanya perlu melakukan ini sekali di semua repo menggunakan CLA kami.

Proyek ini telah mengadopsi kode perilaku open source Microsoft. Untuk informasi lebih lanjut, lihat FAQ Kode Perilaku atau hubungi [email protected] dengan pertanyaan atau komentar tambahan.

Microsoft dan setiap kontributor memberi Anda lisensi untuk dokumentasi Microsoft dan konten lainnya di repositori ini di bawah Lisensi Publik Internasional Creative Commons Attribution 4.0, lihat file lisensi, dan beri Anda lisensi untuk kode apa pun dalam repositori di bawah lisensi MIT, lihat file kode lisensi.

Microsoft, Windows, Microsoft Azure, dan/atau produk dan layanan Microsoft lainnya yang dirujuk dalam dokumentasi dapat berupa merek dagang atau merek dagang terdaftar dari Microsoft di Amerika Serikat dan/atau negara lain. Lisensi untuk proyek ini tidak memberi Anda hak untuk menggunakan nama, logo, atau merek dagang Microsoft. Pedoman merek dagang umum Microsoft dapat ditemukan di http://go.microsoft.com/fwlink/?linkid=254653.

Informasi privasi dapat ditemukan di https://privacy.microsoft.com/en-us/

Microsoft dan kontributor apa pun memberikan semua hak lainnya, baik di bawah hak cipta, paten, atau merek dagang masing -masing, baik secara implikasi, estoppel atau sebaliknya.