sarif tutorials

静的分析結果のインターチェンジ形式であるSARIFは、静的解析ツールの出力の標準形式を定義します。これは、さまざまなツールのニーズに合った強力で洗練された形式です。このため、フォーマットは正式な言語で記述された220以上のページ仕様で定義されているためです。 - SARIFを学び、どの部分を使用する必要があるかを把握するのは難しい場合があります。

これらのチュートリアルは、SARIFをより親しみやすい方法で提示することを目的としています。背景から始めます。なぜSARIFが必要なのですか？どこから来たの？それは何ができますか？次に、形式に飛び込み、最初に最も基本的な概念を調査し、次により高度な概念に進みます。

高度な概念は通常、SARIFの生産者と消費者のサブセットのみに適用されるため、すべてを読む必要はありません。紹介資料を読んでから、興味のある追加のトピックを選択して選択してください。

samplesディレクトリの下にチュートリアルに表示されているサンプルファイルを見つけることができます。私が特に言わない限り、それらはすべて有効なSARIFファイルです。

時には、チュートリアルは、高度なシナリオの詳細情報または説明について、SARIF仕様のセクションにリンクしています。これらのリンクは次のようになります：§3.13：Sariflogオブジェクトと、SpecのHTMLバージョンを指します。 SARIF 2.1.0 CS01（委員会仕様1）フォルダーには、OASIS WebサイトにはPDFおよび.DOCXバージョンがあります。

仕様は決定的です（そして、本当に技術的に取得したい場合、仕様の.DOCXバージョンは決定的ですが、PDFまたはHTMLコンバーターにバグがないと仮定しましょう）。これらのチュートリアルの何かがスペックに同意しないように見える場合は、私に知らせてください。チュートリアルを修正するか、仕様に対してバグが提出されていることを確認します。

SARIF仕様は、OASISからの委員会仕様です。しかし、私が共同編集者（マイケルファニングと）と仕様の主要なワードスミスであるという事実にもかかわらず、これらのチュートリアルはオアシス作業製品ではなく、オアシスによって何らかの形で承認されていません。それらは私の個人的な解釈と基準の説明を表しています。

これらのチュートリアルには、SARIFの強固な背景を提供するのに十分な情報が含まれています。目次の「TODO」エントリからわかるように、私が書きたいと思います。しかし、これらは時間があるときに対処する高度なトピックです。

私がカバーしていないSARIF機能の説明が必要な場合は、このレポで問題を提出してお知らせください

• 導入
  • サリフとは何ですか？
  • 静的分析ツールについて
  • なぜサリフ？
  • 簡単な例
  • これらのチュートリアルの計画
• 基本
  • ログファイルとオブジェクトモデル
  • ログと実行
  • ツール：ドライバーと拡張機能
  • プロパティバッグ
  • 結果
    • メッセージ
    • ルール識別子
    • レベル
    • 場所
      • locationsアレイ
      • 物理的および論理的な場所
  • アーティファクト
    • アーティファクトの定義
    • 結果をアーティファクトにリンクします
  • ルールメタデータ
• 基本を超えて
  • 関連場所
  • メッセージの詳細
    • マークダウンメッセージ
    • メタデータからのメッセージ
    • 引数が付いたメッセージ
    • 埋め込まれたリンクを備えたメッセージ
      • テキストとマークダウンのリンク
      • 場所へのリンク
  • 呼び出し
  • 通知
    • ツール実行通知とツール構成通知
    • 通知対結果
  • 分類法
  • コードフロー
  • オートメーション
    • idおよびguidプロパティ
    • correlationGuidプロパティ
• 高度なトピック
  • ツールエクステンション（TODO）
  • 翻訳（todo）
  • 大きなファイルの処理（todo）
  • 結果マッチング（TODO）
  • sarif: URIスキーム（TODO）
• 付録
  • 目的のためのフィットネス：概要
  • 目的のためのフィットネス：自動バグファイリング
  • ルールメタデータと結果メッセージを作成します
  • 視聴者に結果を表示します
  • サリフマルチツール
  • サリフの歴史（dodo）
  • 用語集
  • リソース

このプロジェクトは、貢献と提案を歓迎します。ほとんどの貢献では、貢献者ライセンス契約（CLA）に同意する必要があります。詳細については、https：//cla.opensource.microsoft.comをご覧ください。

プルリクエストを送信すると、CLAボットはCLAを提供し、PRを適切に飾る必要があるかどうかを自動的に決定します（たとえば、ステータスチェック、コメント）。ボットが提供する指示に従うだけです。 CLAを使用して、すべてのレポでこれを1回だけ行う必要があります。

このプロジェクトは、Microsoftのオープンソース行動規範を採用しています。詳細については、FAQのコードを参照するか、追加の質問やコメントについては[email protected]にお問い合わせください。

Microsoftと貢献者は、Creative Commons Attribution 4.0国際パブリックライセンスの下で、このリポジトリのMicrosoftドキュメントおよびその他のコンテンツにライセンスを付与します。ライセンスファイルを参照し、MITライセンスに基づくリポジトリのコードにライセンスを付与し、ライセンスコードファイルを参照してください。

マイクロソフト、Windows、Microsoft Azure、および/またはその他のMicrosoft製品およびサービスドキュメントで参照されているサービスは、米国および/またはその他の国のMicrosoftの商標または登録商標のいずれかです。このプロジェクトのライセンスは、Microsoftの名前、ロゴ、または商標を使用する権利を付与するものではありません。 Microsoftの一般的な商標ガイドラインは、http：//go.microsoft.com/fwlink/?linkid=254653にあります。

プライバシー情報はhttps://privacy.microsoft.com/en-us/にあります

マイクロソフトと貢献者は、それぞれの著作権、特許、または商標の下で、その他のすべての権利を保有しています。