SARIF
→ Static Analysis Results Interchange Format
静的解析ツールの出力結果を標準化して表現するためのフォーマット
JSON Schema として定義
異なる静的解析ツールの結果を統一して扱うのが目的
GitHub Code Scanning も sarif に対応している
SARIF形式のレポートをアップロードするとPRやリポジトリ上に警告を表示できる
主なフィールド
version: SARIFのバージョン
runs: 解析ツールの実行単位のリスト
tool: 使用されたツールの情報
results: 検出された問題(ルール違反や脆弱性)の一覧
ruleId: 違反ルールの識別子
message: 検出内容の説明
locations: 問題の発生場所(ファイル、行番号など)
spec repo
仕様