sarif utils
v0.2.2
當前庫提供了一組實用程序,可用於使用.sarif文件。
SARIF-靜態分析結果互換格式,是Microsoft詳細闡述的靜態分析工具輸出的標準,基於JSON的格式。
有不同的靜態分析工具,但通常所有這些工具都是由一個概念結合在一起的 - 檢測軟件漏洞。
因此,在靜態分析工具工作的輸出中,將有一組warnings ,
指向代碼聞起來。一些工具已經走得更遠,提供了機會
自動fix此類代碼氣味。
因此, SARIF文件可能是靜態分析工具報告的可能格式之一,它將包含由此類工具獲得的相應warnings和fixes部分,這些部分指向目標文件中的相應漏洞。
Fix-Patches模塊設置為與SARIF格式文件中的fix object部分一起使用。
fix object表示該問題的建議修復程序,該問題由工具指示。Fix-Patches依次將解析此類部分,創建目標文件的副本,該副本在SARIF中呈現,並自動將修復程序應用於這些副本。結果輸出將包含使用應用程序修復程序的提供目標文件副本的路徑列表。
注意:如果SARIF文件將在一個文件中包含同一區域的多個修復程序,則僅將第一個修復程序附加。
Library提供易於使用的API用於修復補丁應用程序,只需提供通往SARIF文件的路徑,其中包含用於目標文件的修復程序列表( fix objects )以及以SARIF中呈現的方式(通過絕對/相對路徑)以這些方式呈現這些文件的路徑列表。
val processedFiles : List < Path > = SarifFixAdapter (
sarifFile = sarifFilePath,
targetFiles = listOfTargetFilesPaths,
testRoot = " /path/to/test/root/directory/ " .toPath()
).process()
