「网络安全术语解读」SARIF详解

news2024/11/28 2:38:45

引言:什么是SARIF?它的产生背景是什么?SARIF主要包含哪些内容?使用SARIF有哪些好处?

1. SARIF简介

SARIF(Static Analysis Results Interchange Format ,静态分析结果交换格式)是一种用于描述静态分析结果的规范,用于在不同工具之间交换和理解静态分析报告。它最初是为了满足Eclipse插件开发者的需求而设计的,现在也被广泛应用于其他静态代码分析工具中。目前SARIF 2.1.0 已经是OASIS标准。
在这里插入图片描述

Note:OASIS是一个致力于推动基于XML标准化的非盈利组织,其成员来自各个行业,旨在通过标准化改善业务流程的效率和可靠性。其制定的标准通常遵循最佳实践原则,并提供了一个认证程序来证明符合标准的系统或产品具有互操作性。OSIS推出了许多被广泛采用的标准,如高级消息队列协议(Advanced Message Queuing Protocol,AMQP),以及物联网常用的消息队列遥测传输协议(Message Queuing Telemetry Transport,MQTT)等。

在这里插入图片描述

2. 产生背景

SARIF的产生背景主要基于两个因素:一是静态代码分析工具之间的互操作性,二是为了标准化静态代码分析结果的描述。

2.1. 静态代码分析工具之间的互操作性

静态代码分析是一种在软件开发过程中,通过分析源代码来查找潜在错误和安全漏洞的技术。然而,不同的静态代码分析工具可能会产生不同的分析结果,这使得在不同的工具之间进行比较和交换分析结果变得困难。为了解决这个问题,需要有一种通用的方式来描述静态分析结果,使得不同的工具可以理解和交换彼此的分析报告。

2.2. 标准化静态代码分析结果的描述

SARIF提供了一种标准化的方式来描述静态分析结果,包括问题的类型、位置、严重程度等等。通过使用SARIF,静态代码分析工具的开发者可以更容易地将自己的工具集成到其他系统中,或者在不同的工具之间进行互操作。此外,通过使用SARIF,用户也可以更容易地理解和分析静态分析报告,从而更好地进行代码质量和安全性的管理。
在这里插入图片描述

Note:SARIF文件样例可以参考微软官方的SARIF教程,对应的Github地址https://github.com/microsoft/sarif-tutorials/tree/main/samples

3. 主要内容

3.1. 检测工具

主要明确了静态代码检测所用的工具及对应的版本信息,举例如下

"tool": {
        "driver": {
          "name": "Coverity",
          "version": "1.2"
        }
      }

3.2. 检测规则

主要明确了静态代码检测所用的检测规则,包含了规则描述信息、路径等,举例如下

{
          "ruleId": "TUT1002",
          "message": {
            "text": "A result in a source file."
          },
          "locations": [
            {
              "physicalLocation": {
                "artifactLocation": {
                  "uri": "io/kb.c",
                  "uriBaseId": "SRCROOT",
                  "properties": {
                    "comment": "If REPOROOT is C:\\project, this file location resolves to C:\\project\\src\\io\\kb.c"
                  }
                }
              }
            }
          ]
        }

3.3. 检测内容

主要明确了静态代码检测对象信息,如代码路径,举例如下

"SRCROOT": {
          "uri": "src/",
          "uriBaseId": "REPOROOT",
          "description": {
            "text": "The r."
          },
          "properties": {
            "comment": "SRCROOT is expressed relative to REPOROOT."
          }
        }

3.4. 检测结果

主要明确了静态代码检测扫描出的告警信息,包含规则信息,告警产生的位置信息,告警描述信息等,举例如下

 "results": [
        {
          "ruleId": "TUT1001",
          "message": {
            "text": "Use of uninitialized variable."
          },
          "locations": [
            {
              "physicalLocation": {
                "artifactLocation": {
                  "uri": "collections/list.h"
                },
                "region": {
                  "startLine": 25,
                  "startColumn": 8,
                  "snippet": {
                    "text": "add_core(ptr, offset, val)"
                  }
                }
              }
            }
          ],
          "codeFlows": [
            {
              "message": {
                "text": "Path from declaration to usage."
              },
              "threadFlows": [
                {
                  "locations": [
                    {
                      "importance": "essential",
                      "location": {
                        "message": {
                          "text": "Variable 'ptr' declared."
                        },
                        "physicalLocation": {
                          "artifactLocation": {
                            "uri": "collections/list.h"
                          },
                          "region": {
                            "startLine": 15,
                            "startColumn": 8,
                            "snippet": {
                              "text": "int* ptr;"
                            }                          }
                        },
                        "logicalLocations": [
                          {
                            "fullyQualifiedName": "collections::list::add"
                          }
                        ]
                      }
                    },
                    {
                      "importance": "unimportant",
                      "location": {
                        "physicalLocation": {
                          "artifactLocation": {
                            "uri": "collections/list.h"
                          },
                          "region": {
                            "startLine": 18,
                            "startColumn": 8,
                            "snippet": {
                              "text": "offset = 0;"
                            }
                          }
                        },
                        "logicalLocations": [
                          {
                            "fullyQualifiedName": "collections::list::add"
                          }
                        ]
                      }
                    },
                    {
                      "importance": "essential",
                      "location": {
                        "message": {
                          "text": "Uninitialized variable 'ptr' passed to method 'add_core'."
                        },
                        "physicalLocation": {
                          "artifactLocation": {
                            "uri": "collections/list.h"
                          },
                          "region": {
                            "startLine": 25,
                            "startColumn": 8,
                            "snippet": {
                              "text": "add_core(ptr, offset, val)"
                            }
                          }
                        },
                        "logicalLocations": [
                          {
                            "fullyQualifiedName": "collections::list::add"
                          }
                        ]
                      }
                    }
                  ]
                }
              ]
            },
            {
              "message": {
                "text": "Alternate path from declaration to usage."
              },
              "threadFlows": [
                {
                  "locations": [
                    {
                      "importance": "essential",
                      "location": {
                        "message": {
                          "text": "Variable 'ptr' declared."
                        },
                        "physicalLocation": {
                          "artifactLocation": {
                            "uri": "collections/list.h"
                          },
                          "region": {
                            "startLine": 15,
                            "startColumn": 8,
                            "snippet": {
                              "text": "int* ptr;"
                            }                          }
                        },
                        "logicalLocations": [
                          {
                            "fullyQualifiedName": "collections::list::add"
                          }
                        ]
                      }
                    },
                    {
                      "importance": "unimportant",
                      "location": {
                        "physicalLocation": {
                          "artifactLocation": {
                            "uri": "collections/list.h"
                          },
                          "region": {
                            "startLine": 22,
                            "startColumn": 8,
                            "snippet": {
                              "text": "val = 0;"
                            }
                          }
                        },
                        "logicalLocations": [
                          {
                            "fullyQualifiedName": "collections::list::add"
                          }
                        ]
                      }
                    },
                    {
                      "importance": "essential",
                      "location": {
                        "message": {
                          "text": "Uninitialized variable 'ptr' passed to method 'add_core'."
                        },
                        "physicalLocation": {
                          "artifactLocation": {
                            "uri": "collections/list.h"
                          },
                          "region": {
                            "startLine": 25,
                            "startColumn": 8,
                            "snippet": {
                              "text": "add_core(ptr, offset, val)"
                            }
                          }
                        },
                        "logicalLocations": [
                          {
                            "fullyQualifiedName": "collections::list::add"
                          }
                        ]
                      }
                    }
                  ]
                }
              ]
            }          
        }
      ]

想了解更多SARIF的规范细节,可以参阅官方200多页的PDF文档,点击获取。

4. 使用SARIF规范的好处

  • 提高透明度:通过使用SARIF规范,各方可以更好地了解软件质量度量的各个方面,从而有助于做出更明智的决策。
  • 促进协作:使用SARIF规范可以促进软件开发过程中的协作,因为各方可以更好地了解彼此的关注点和要求。
  • 标准化数据交换:使用SARIF规范可以确保各方在交流和交换与软件质量度量相关的信息时使用相同的格式和标准,从而减少数据交换中的混乱和误解。

总之,SARIF是一种用于软件质量度量交换的格式化数据规范,旨在提供一个通用的方法,以便各方能够以一种统一和标准化的方式交流和交换与软件质量度量相关的信息。它有助于提高透明度、促进协作和标准化数据交换,从而有助于在整个软件开发过程中实现更好的协作、沟通与决策。

5. 参考

[1] https://www.oasis-open.org/committees/tc_home.php?wg_abbrev=sarif
[2] https://github.com/microsoft/sarif-tutorials

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1365552.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

PTA——猴子吃桃问题

一只猴子第一天摘下若干个桃子,当即吃了一半,还不过瘾,又多吃了一个;第二天早上又将剩下的桃子吃掉一半,又多吃了一个。以后每天早上都吃了前一天剩下的一半加一个。到第N天早上想再吃时,见只剩下一个桃子了…

BOM介绍

文章目录 1、简介主要作用 2、BOM的组成2.1 窗口对象window2.1.1 window对象特点2.1.2 window作用域2.1.3 window对象常见方法**第一类:系统对话框**第二类:控制浏览器窗口方法第三类:与定时器有关的方法 1、简介 BOM(Browser Ob…

docker安裝gocd-server,并配置gitlab授权登录

gocd的地址:Installing GoCD server on Windows | GoCD User Documentation gocd文档:GitHub - gocd/docker-gocd-server: Docker server image for GoCD 一、docker拉取gocd镜像 #拉取server镜像 docker pull gocd/gocd-server:v21.1.0docker pull g…

3的幂00

题目链接 3的幂 题目描述 注意点 无 解答思路 不断除以3直到除数或余数为0为止,判断除完后的数字是否为1 代码 class Solution {public boolean isPowerOfThree(int n) {while (n / 3 ! 0) {if (n % 3 ! 0) {return false;}n n / 3;}return n 1;} }关键点 …

springmvc内嵌tomcat、tomcat整合springmvc、自研国产web中间件

springmvc内嵌tomcat、tomcat整合springmvc、自研国产web中间件 这是由于公司老项目转化springboot存在太多坑,特别是hibernate事务一条就坑到跑路,你又不想搞没听说过的国产中间件兼容,又不想搞weblogic、WebSphere等中间件的适配&#xff…

【蓝桥杯软件赛 零基础备赛20周】第7周——二叉树

文章目录 1 二叉树概念2 二叉树的存储和编码2.1 二叉树的存储方法2.2 二叉树存储的编码实现2.3 二叉树的极简存储方法 3 例题4 习题 前面介绍的数据结构数组、队列、栈,都是线性的,它们存储数据的方式是把相同类型的数据按顺序一个接一个串在一起。简单的…

MPL3115A2大气压温度采集芯片的工作原理与特点详解

目录 一、引言 二、MPL3115A2主要特点和功能 三、主要优势 3.1 内部自动补偿 3.2 FIFO 四、硬件原理图 4.1 硬件连接 五、软件配置 六、资料获取 一、引言 MPL3115A2是一款高精度的大气压力传感器,能够测量大气压力、海拔高度和温度。它采用了MEMS&#xf…

Redis内存策略:「过期Key删除策略」+ 「内存淘汰策略」

Redis之所以性能强,最主要的原因就是基于内存存储,然而单节点的Redis其内存大小不宜过大,否则会影响持久化或主从同步的性能。 Redis内存满了,会发生什么? 在Redis的运行内存达到了某个阈值,就会触发内存…

Linux - No space left on device

问题描述 No space left on device 原因分析 说明在服务器设备上的存储空间已经满了,不能再上传或者新建文件夹或者文件等。 解决方案 确认查看服务器系统的磁盘使用情况是否是真的已经没有剩余空间,复制下面命令在服务器上运行,然后发现如果…

CSS 彩虹按钮效果

<template><view class"content"><button class"btn">彩虹按钮</button></view> </template><script></script><style>body{background-color: #000;}.content {margin-top: 300px;}.btn {width: 1…

jenkins忘记密码后的操作

1、先停止 jenkins 服务 systemctl stop jenkins 关闭Jenkins服务 或者杀掉进程 ps -ef | grep jenkins &#xff5c;awk {print $2} | grep -v "grep" | xargs kill -9 2、找到 config.xml 文件 find /root -name config.xml3、备份config.xml文件 cp /root/.jen…

添加一个编辑的小功能(PHP的Laravel)

一个编辑的按钮可以弹出会话框修改断更天数 前台 加一个编辑按钮的样式&#xff0c;他的名字是固定好的 之前有人封装过直接用就好&#xff0c;但是一定放在class里面&#xff0c;不要放在id里面 看见不认识的方法一定要去看里面封装的是什么 之前就是没有看&#xff0c;所以…

包含自动轮播、点击切换、显示图片信息和页码方框显示码数的 HTML 和 JavaScript 示例:

<!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><meta name"viewport" content"widthdevice-width, initial-scale1.0"><title>轮播图</title><style>#carousel-conta…

hfish蜜罐docker部署

centos 安装 docker-CSDN博客Docker下载部署 Docker是我们推荐的部署方式之一&#xff0c;当前的版本拥有以下特性&#xff1a; 自动升级&#xff1a;每小时请求最新镜像进行升级&#xff0c;升级不会丢失数据。数据持久化&#xff1a;在宿主机/usr/share/hfish目录下建立dat…

AI ppt生成器 Tome

介绍 一款 AI 驱动的 PPT/幻灯片内容辅助生成工具。只需要输入一个标题或者一段特定的描述&#xff0c;AI 便会自动生成一套包括标题、大纲、内容、配图的完整 PPT。 Tome平台只需要用户输入一句话&#xff0c;就可以自动生成完整的PPT&#xff0c;包括文字和图片。功能非常强…

[AutoSar]基础部分 RTE 04 数据类型的定义及使用

目录 关键词平台说明一、数据类型分类二、Adt三、Idt四、Base 数据类型五、units六、compu methods七、data constraint 关键词 嵌入式、C语言、autosar、Rte 平台说明 项目ValueOSautosar OSautosar厂商vector芯片厂商TI编程语言C&#xff0c;C编译器HighTec (GCC) 一、数据…

浅谈对Promise的理解。

一、Promise定义 JS中用于处理异步操作的编程模式。一个Promise是一个代理&#xff0c;它代表一个创建Promise时不一定已知的值。它允许我们将处理的程序与异步操作的最终成功值或失败值原因想关联起来。这使得异步方法可以像同步方法一样返回值&#xff1a;异步方法不会立即返…

【数据库分库分表思路】

一、数据切分介绍 关系型数据库本身比较容易成为系统瓶颈&#xff0c;单机存储容量、连接数、处理能力都有限。当单表的数据量达到1000W或100G以后&#xff0c;由于查询维度较多&#xff0c;即使添加从库、优化索引&#xff0c;做很多操作时性能仍下降严重。此时就要考虑对其进…

JavaScript 中的数组过滤

在构建动态和交互式程序时&#xff0c;您可能需要添加一些交互式功能。例如&#xff0c;用户单击按钮以筛选一长串项目。 您可能还需要处理大量数据&#xff0c;以仅返回与指定条件匹配的项目。 在本文中&#xff0c;您将学习如何使用两种主要方法在 JavaScript 中过滤数组。…

4.2V线性500mA充电管理芯片WT4054

4.2V线性500mA充电管理芯片WT4054 WT4054&#xff0c;一款强大而小巧的锂电池充电IC&#xff0c;为你的便携式设备提供无忧充电。其SOT-23-5L封装小巧轻便&#xff0c;所占空间极小&#xff0c;而其强大的功能将为你的设备提供稳定、高效的电量供应。 这款充电器拥有众多令人惊…