SARIF
→ Static Analysis Results Interchange Format
静的解析ツールの出力結果を標準化して表現するためのフォーマット
JSON Schema として定義
異なる静的解析ツールの結果を統一して扱うのが目的
GitHub Code Scanning も sarif に対応している
Code scanningの SARIF サポート - GitHub Docs
SARIF形式のレポートをアップロードするとPRやリポジトリ上に警告を表示できる
VS Code でも SARIF Viewer 拡張機能を使って GUI で確認できる
主なフィールド
version: SARIFのバージョン
runs: 解析ツールの実行単位のリスト
tool: 使用されたツールの情報
results: 検出された問題(ルール違反や脆弱性)の一覧
ruleId: 違反ルールの識別子
message: 検出内容の説明
locations: 問題の発生場所(ファイル、行番号など)
https://sarifweb.azurewebsites.net/
spec repo
https://github.com/oasis-tcs/sarif-spec
仕様
https://www.oasis-open.org/committees/tc_home.php?wg_abbrev=sarif
https://docs.oasis-open.org/sarif/sarif/v2.1.0/os/sarif-v2.1.0-os.html