sarif tutorials

SARIF, os resultados da análise estática Formato de intercâmbio, define um formato padrão para a saída de ferramentas de análise estática. É um formato poderoso e sofisticado adequado às necessidades de uma ampla variedade de ferramentas. Por esse motivo-e porque o formato é definido em uma especificação de mais de 220 páginas escrita em linguagem formal! - Pode ser difícil aprender Sarif e descobrir quais partes você precisa usar.

Esses tutoriais visam apresentar Sarif de uma maneira mais acessível. Começaremos com alguns antecedentes: por que precisamos de Sarif? De onde veio? O que isso pode fazer? Em seguida, mergulharemos no formato, explorando os conceitos mais básicos primeiro, depois passando para conceitos mais avançados.

Os conceitos avançados geralmente se aplicam a apenas um subconjunto de produtores e consumidores da SARIF, para que você não leia tudo. Basta ler o material introdutório e escolher os tópicos adicionais que lhe interessam.

Você pode encontrar os arquivos de amostra exibidos nos tutoriais no diretório samples . Eles são todos arquivos SARIF válidos, a menos que eu diga o contrário.

Às vezes, os tutoriais linkam para uma seção da especificação SARIF para obter informações mais detalhadas ou descrições de cenários avançados. Esses links se parecem com o seguinte: §3.13: objeto Sariflog e apontam para a versão HTML da especificação. Existem também versões PDF e .Docx na pasta SARIF 2.1.0 CS01 (especificação do comitê 1) no site do Oasis.

A especificação é definitiva (e se queremos ser realmente técnicos, a versão .docx da especificação é definitiva, mas vamos assumir que não há bugs nos conversores PDF ou HTML). Se parece que algo nesses tutoriais discorda da especificação, informe -me e eu corrigirei os tutoriais ou garantirei que um bug seja arquivado contra a especificação.

A especificação SARIF é uma especificação do comitê do Oasis. Mas, apesar do fato de eu ser o co-editor (com Michael Fanning) e do Principal Wordsmith da especificação, esses tutoriais não são um produto de trabalho do Oasis ou endossados ​​pelo Oasis de forma alguma. Eles representam minha interpretação pessoal e explicação do padrão.

Esses tutoriais agora contêm informações suficientes para fornecer um fundo sólido em Sarif. Como você verá nas entradas "Todo" no índice, há muito mais sobre o qual gostaria de escrever. Mas esses são tópicos avançados que abordarei quando tiver tempo.

Se você quiser uma explicação de um recurso SARIF que eu não cobri, por favor me avise arquivando um problema neste repositório

• Introdução
  • O que é Sarif?
  • Sobre ferramentas de análise estática
  • Por que Sarif?
  • Um exemplo simples
  • O plano para esses tutoriais
• O básico
  • O arquivo de log e o modelo de objeto
  • Logs e corridas
  • Ferramentas: driver e extensões
  • Sacos de propriedade
  • Resultados
    • Mensagem
    • Identificador de regra
    • Nível
    • Locais
      • A matriz locations
      • Locais físicos e lógicos
  • Artefatos
    • Definindo artefatos
    • Vincular resultados a artefatos
  • Metadados da regra
• Além do básico
  • Locais relacionados
  • Mais sobre mensagens
    • Mensagens de marcação
    • Mensagens de metadados
    • Mensagens com argumentos
    • Mensagens com links incorporados
      • Links em texto e marcação
      • Links para locais
  • Invocações
  • Notificações
    • Notificação de execução de ferramentas e notificações de configuração de ferramentas
    • Notificações vs. resultados
  • Taxonomias
  • Fluxos de código
  • Automação
    • As propriedades id e guid
    • A propriedade correlationGuid
• Tópicos avançados
  • Extensões de ferramentas (TODO)
  • Traduções (TODO)
  • Manuseando arquivos grandes (TODO)
  • Resultado correspondente (TODO)
  • O esquema sarif: URI (TODO)
• Apêndices
  • Aptidão para o propósito: uma visão geral
  • Fitness for Final: arquivamento automático de bugs
  • Metadados de regra de criação e mensagens de resultado
  • Exibindo resultados em um espectador
  • O Sarif Multitool
  • A história de Sarif (TODO)
  • Glossário
  • Recursos

Este projeto recebe contribuições e sugestões. A maioria das contribuições exige que você concorde com um Contrato de Licença de Colaborador (CLA) declarando que você tem o direito e, na verdade, concede -nos os direitos de usar sua contribuição. Para detalhes, visite https://cla.opensource.microsoft.com.

Quando você envia uma solicitação de tração, um BOT do CLA determina automaticamente se você precisa fornecer um CLA e decorar o PR adequadamente (por exemplo, verificação de status, comentar). Simplesmente siga as instruções fornecidas pelo bot. Você só precisará fazer isso uma vez em todos os repositórios usando nosso CLA.

Este projeto adotou o Código de Conduta Open Microsoft. Para obter mais informações, consulte o Código de Conduta Perguntas frequentes ou entre em contato com [email protected] com quaisquer perguntas ou comentários adicionais.

A Microsoft e quaisquer colaboradores concedem uma licença à Documentação da Microsoft e outros conteúdos neste repositório sob a licença pública Creative Commons Attribution 4.0 International, consulte o arquivo de licença e conceda uma licença a qualquer código no repositório sob a licença do MIT, consulte o arquivo de código-código.

Microsoft, Windows, Microsoft Azure e/ou outros produtos e serviços da Microsoft referenciados na documentação podem ser marcas comerciais ou marcas registradas da Microsoft nos Estados Unidos e/ou em outros países. As licenças para este projeto não concedem direitos de usar nomes, logotipos ou marcas comerciais da Microsoft. As diretrizes gerais de marca geral da Microsoft podem ser encontradas em http://go.microsoft.com/fwlink/?linkid=254653.

Informações sobre privacidade podem ser encontradas em https://privacy.microsoft.com/en-us/

A Microsoft e quaisquer colaboradores reservam todos os outros direitos, seja sob seus respectivos direitos autorais, patentes ou marcas comerciais, seja por implicação, impedimento ou não.