sarif tutorials

SARIF, формат обмена результатами статического анализа, определяет стандартный формат для вывода инструментов статического анализа. Это мощный и сложный формат, соответствующий потребностям широкого спектра инструментов. По этой причине-и потому, что формат определяется в спецификации страниц более 220 с лишним, написанной на формальном языке! - Может быть трудно изучить сари и выяснить, какие его части вам нужно использовать.

Эти учебники направлены на то, чтобы представить SARIF более доступным образом. Мы начнем с некоторого фона: зачем нам нужен сариф? Откуда это произошло? Что это может сделать? Затем мы погрузимся в формат, сначала исследуя самые основные концепции, а затем перейдем к более продвинутым концепциям.

Расширенные концепции обычно применяются только к подмножеству производителей и потребителей сари, поэтому вы не читаете все. Просто прочитайте вводной материал, затем выберите дополнительные темы, которые вас интересуют.

Вы можете найти образцы файлов, отображаемых в учебных пособиях в каталоге samples . Все они являются действительными файлами сарифа, если я не скажу иначе.

Время от времени учебные пособия ссылаются на раздел спецификации сари для более подробной информации или описаний расширенных сценариев. Эти ссылки выглядят так: §3.13: объект сарифлога, и они указывают на версию спецификации HTML. В папке SARIF 2.1.0 CS01 (спецификация комитета 1) в папке SARIF 2.1.0 CS01 (спецификация комитета 1) на веб -сайте Oasis.

Спецификация является окончательной (и, если мы хотим получить действительно технические, версия спецификации .docx является окончательной, но давайте предположим, что в конвертерах PDF или HTML нет ошибок). Если это кажется что -то в этих учебных пособиях, не согласны со спецификацией, дайте мне знать, и я либо исправлю учебные пособия, либо убедитесь, что ошибка подается против спецификации.

Спецификация сари является спецификацией комитета от OASIS. Но, несмотря на то, что я являюсь соредактором (с Майклом Фаннингом) и первичным словами спецификации, эти учебные пособия не являются рабочим продуктом Oasis или каким-либо образом одобрены Oasis. Они представляют мою личную интерпретацию и объяснение стандарта.

Эти учебники теперь содержат достаточно информации, чтобы дать вам солидный фон в Сарифе. Как вы увидите из записей «Todo» в содержимом, есть гораздо больше, о чем я хотел бы написать. Но это продвинутые темы, которые я буду решать, когда у меня будет время.

Если вы хотите объяснить функцию сарифа, которую я не освещал, пожалуйста, дайте мне знать, подав проблему в этом репо.

• Введение
  • Что такое Сариф?
  • О статических инструментах анализа
  • Почему Сариф?
  • Простой пример
  • План этих учебных пособий
• Основы
  • Файл журнала и модель объекта
  • Журналы и запуска
  • Инструменты: драйвер и расширения
  • Сумки для недвижимости
  • Результаты
    • Сообщение
    • Идентификатор правил
    • Уровень
    • Локации
      • locations массивы
      • Физические и логические местоположения
  • Артефакты
    • Определение артефактов
    • Связывание результатов с артефактами
  • Метаданные правила
• За пределами оснований
  • Связанные места
  • Подробнее о сообщениях
    • Сообщения разметки
    • Сообщения из метаданных
    • Сообщения с аргументами
    • Сообщения со встроенными ссылками
      • Ссылки в тексте и отметки
      • Ссылки на местоположения
  • Призывы
  • Уведомления
    • Уведомления о выполнении инструмента и уведомления о конфигурации инструмента
    • Уведомления против результатов
  • Таксономии
  • Кодовые потоки
  • Автоматизация
    • id свойства и свойства guid
    • Свойство correlationGuid
• Расширенные темы
  • Расширения инструментов (TODO)
  • Переводы (Todo)
  • Обработка больших файлов (TODO)
  • Сопоставление результатов (TODO)
  • sarif: Схема URI (TODO)
• Приложения
  • Фитнес для цели: обзор
  • Фитнес для цели: автоматическая подача ошибок
  • Авторизм метаданных правил и сообщений результатов
  • Отображение результатов у зрителя
  • Сариф Многотул
  • История Сарифа (Тодо)
  • Глоссарий
  • Ресурсы

Этот проект приветствует вклады и предложения. Большинство взносов требуют, чтобы вы согласились с лицензионным соглашением о участнике (CLA), заявив, что вы имеете право и фактически предоставить нам права на использование вашего вклада. Для получения подробной информации, посетите https://cla.opensource.microsoft.com.

Когда вы отправляете запрос на привлечение, бот CLA автоматически определит, нужно ли вам предоставить CLA и правильно украсить PR (например, проверка состояния, комментарий). Просто следуйте инструкциям, предоставленным ботом. Вам нужно будет сделать это только один раз во всех репо, используя наш CLA.

Этот проект принял код поведения с открытым исходным кодом Microsoft. Для получения дополнительной информации см. Кодекс поведения FAQ или свяжитесь с [email protected] с любыми дополнительными вопросами или комментариями.

Microsoft и любые участники предоставляют вам лицензию на документацию Microsoft и другой контент в этом репозитории в соответствии с Международной публичной лицензией Creative Commons 4.0, см. Файл лицензии и предоставят вам лицензию на любой код в хранилище в соответствии с лицензией MIT, см. Файл лицензии.

Microsoft, Windows, Microsoft Azure и/или другие продукты и услуги Microsoft, упомянутые в документации, могут быть либо товарными знаками, либо зарегистрированными товарными знаками Microsoft в Соединенных Штатах и/или других странах. Лицензии для этого проекта не предоставляют вам права использовать любые имена Microsoft, логотипы или товарные знаки. Общие руководящие принципы Microsoft можно найти по адресу http://go.microsoft.com/fwlink/?linkid=254653.

Информацию о конфиденциальности можно найти по адресу https://privacy.microsoft.com/en-us/

Microsoft и любые участники оставляют за собой все остальные права, будь то в соответствии с их соответствующими авторскими правами, патентами или товарными знаками, будь то по под действию, эстоппель или иным образом.