홈페이지>JSP 소스 코드>기타 카테고리
다운로드

사리프 튜토리얼

소개

정적 분석 결과 인터체인지 형식 인 Sarif는 정적 분석 도구의 출력에 대한 표준 형식을 정의합니다. 다양한 도구의 요구에 적합한 강력하고 정교한 형식입니다. 이러한 이유로-형식은 공식 언어로 작성된 220 개 이상의 페이지 사양에 정의되기 때문입니다! - 사리프를 배우고 어떤 부분을 사용해야하는지 파악하기가 어려울 수 있습니다.

이 튜토리얼은 Sarif를보다 접근하기 쉬운 방식으로 제시하는 것을 목표로합니다. 우리는 배경으로 시작할 것입니다 : 왜 우리는 Sarif가 필요합니까? 어디에서 왔습니까? 무엇을 할 수 있습니까? 그런 다음 가장 기본적인 개념을 먼저 탐색 한 다음 고급 개념으로 넘어가는 형식으로 뛰어들 것입니다.

고급 개념은 일반적으로 Sarif 생산자와 소비자의 하위 집합에만 적용되므로 모든 것을 읽지 않습니다. 입문 자료를 읽은 다음 관심있는 추가 주제를 선택하고 선택하십시오.

샘플 파일

samples 디렉토리 아래 튜토리얼에 표시된 샘플 파일을 찾을 수 있습니다. 내가 달리 말하지 않는 한 모두 유효한 SARIF 파일입니다.

사양에 대한 링크

때때로, 튜토리얼은 고급 시나리오에 대한 자세한 정보 또는 설명을 위해 SARIF 사양의 섹션으로 연결됩니다. 이 링크는 다음과 같습니다. §3.13 : sariflog 객체와 사양의 HTML 버전을 가리 킵니다. Oasis 웹 사이트의 SARIF 2.1.0 CS01 (위원회 사양 1) 폴더에는 PDF 및 .docx 버전도 있습니다.

사양은 결정적입니다 (실제로 기술을 얻으려면 사양의 .docx 버전은 결정적이지만 PDF 또는 HTML 변환기에는 버그가 없다고 가정 해 봅시다). 이 튜토리얼의 어떤 것 같으면 사양에 동의하지 않으면 알려 주시면 자습서를 수정하거나 버그가 사양에 대해 제출되어 있는지 확인하십시오.

부인 성명

SARIF 사양은 오아시스의위원회 사양입니다. 그러나 내가 공동 편집자 (Michael Fanning과 함께)이자 사양의 주요 단어 제조업 자라는 사실에도 불구하고,이 튜토리얼은 오아시스 작업 제품이거나 어떤 식 으로든 오아시스가 승인 한 것이 아닙니다 . 그것들은 표준에 대한 나의 개인적인 해석과 설명을 나타냅니다.

상태

이 튜토리얼에는 이제 Sarif에 대한 탄탄한 배경을 제공하기에 충분한 정보가 포함되어 있습니다. 목차의 "Todo"항목에서 볼 수 있듯이, 내가 쓰고 싶은 것이 훨씬 더 많이 있습니다. 그러나 이것들은 내가 시간이있을 때 해결할 고급 주제입니다.

내가 다루지 않은 SARIF 기능에 대한 설명을 원한다면이 리포지어에 문제를 제기하여 알려주십시오.

목차

  • 소개
    • Sarif는 무엇입니까?
    • 정적 분석 도구에 대해
    • 왜 사리프인가?
    • 간단한 예
    • 이 튜토리얼에 대한 계획
  • 기본
    • 로그 파일과 객체 모델
    • 로그와 실행
    • 도구 : 드라이버 및 확장
    • 속성 가방
    • 결과
      • 메시지
      • 규칙 식별자
      • 수준
      • 위치
        • locations 배열
        • 물리적, 논리적 위치
    • 유물
      • 인공물 정의
      • 결과를 아티팩트에 연결합니다
    • 규칙 메타 데이터
  • 기본을 넘어서
    • 관련 위치
    • 메시지에 대한 자세한 내용
      • 마크 다운 메시지
      • 메타 데이터의 메시지
      • 인수가있는 메시지
      • 내장 된 링크가있는 메시지
        • 텍스트 및 마크 다운 링크
        • 위치에 대한 링크
    • 호출
    • 알림
      • 도구 실행 알림 및 공구 구성 알림
      • 알림 결과
    • 분류
    • 코드 흐름
    • 오토메이션
      • idguid 속성
      • correlationGuid 속성
  • 고급 주제
    • 도구 확장 (TODO)
    • 번역 (TODO)
    • 큰 파일 처리 (TODO)
    • 결과 일치 (TODO)
    • sarif: Uri Scheme (Todo)
  • 부록
    • 목적을위한 피트니스 : 개요
    • 목적을위한 피트니스 : 자동 버그 제출
    • 저작 규칙 메타 데이터 및 결과 메시지
    • 시청자에게 결과를 표시합니다
    • Sarif Multitool
    • Sarif의 역사 (Todo)
    • 어휘
    • 자원

기여

이 프로젝트는 기여와 제안을 환영합니다. 대부분의 기부금은 귀하가 귀하가 귀하의 기부금을 사용할 권리를 부여 할 권리가 있다고 선언하는 기고자 라이센스 계약 (CLA)에 동의해야합니다. 자세한 내용은 https://cla.opensource.microsoft.com을 방문하십시오.

풀 요청을 제출할 때 CLA 봇은 CLA를 제공하고 PR을 적절하게 장식 해야하는지 자동으로 결정합니다 (예 : 상태 점검, 댓글). 봇이 제공 한 지침을 따르십시오. CLA를 사용하여 모든 저장소에서 한 번만이 작업을 수행하면됩니다.

이 프로젝트는 Microsoft 오픈 소스 행동 강령을 채택했습니다. 자세한 내용은 추가 질문이나 의견이 있으면 행동 강령 FAQ 또는 [email protected]에 문의하십시오.

법적 통지

Microsoft 및 모든 기고자는 Creative Commons Advribution 4.0 International Public 라이센스에 따라이 저장소의 Microsoft 문서 및 기타 컨텐츠에 라이센스를 부여하고 라이센스 파일을보고 MIT 라이센스에 따라 저장소의 모든 코드에 대한 라이센스를 부여합니다. 라이센스 코드 파일을 참조하십시오.

문서에 참조 된 Microsoft, Windows, Microsoft Azure 및/또는 기타 Microsoft 제품 및 서비스는 미국 및/또는 기타 국가의 Microsoft의 상표 또는 등록 상표 일 수 있습니다. 이 프로젝트의 라이센스는 Microsoft 이름, 로고 또는 상표를 사용할 권한을 부여하지 않습니다. Microsoft의 일반 상표 지침은 http://go.microsoft.com/fwlink/?linkid=254653에서 찾을 수 있습니다.

개인 정보 보호 정보는 https://privacy.microsoft.com/en-us/에서 찾을 수 있습니다.

Microsoft와 모든 기고자는 각각의 저작권, 특허 또는 상표에 따라 다른 모든 권리를 보유합니다.

확장하다
추가 정보
관련 애플리케이션
추천
관련 정보 전체