Özgün laboratuvar · Uygulama güvenliği ve CI
Scanner etiketine güvenmeden release bütçesi uygulanabilir mi?
İki geçerli SARIF raporu arasındaki güvenlik değişimi, scanner’ın değişebilen etiketi yerine kararlı konum ve kural kanıtlarıyla yeniden üretilebilir mi?
Kontrollü fixture gözlemi; canlı sonuç değil. Aşağıdaki değerlendirmeler yalnız repository içindeki sentetik dosyaların açık özelliklerine dayanır. Bu sayfa dış sisteme bağlanmaz, üretim durumunu ölçmez ve yeni bir araç çalıştırması gibi davranmaz.
Benchmark sorusu ve karar kuralı
İki geçerli SARIF raporu arasındaki güvenlik değişimi, scanner’ın değişebilen etiketi yerine kararlı konum ve kural kanıtlarıyla yeniden üretilebilir mi?
Karar, fixture’daki ölçülebilir koşullar ile aracın açık politika sınırını birlikte kullanır. Başarılı fixture beklenen olumlu yolu; saldırgan, bozuk veya belirsiz fixture ise motorun sessiz başarı yerine BLOCK ya da INDETERMINATE üretmesi gereken sınırı temsil eder.
Tekrarlanabilir fixture byte’ları
Dosyaları açmadan önce aşağıdaki SHA-256 parmak izleriyle doğrulayın. Hash yalnız byte eşitliğini kanıtlar; dosyanın gerçek dünyadaki doğruluğunu, güvenliğini veya yetkili bir kaynaktan geldiğini kanıtlamaz.
- baseline.sarifSHA-256 fbc18d49e1f35752fce06eadeab57d7af9458db849f68a78a24bfb06f52c7c22
- candidate-pass.sarifSHA-256 fbc18d49e1f35752fce06eadeab57d7af9458db849f68a78a24bfb06f52c7c22
- candidate-block.sarifSHA-256 b1c23c9d0b42814927795cb5e7c87c1d7a766c54cd31c00479441bf4c91bff09
shasum -a 256 app/fixtures/flagship-editorial-20260713/sarif/baseline.sarif
# Aynı komutu listedeki diğer fixture yolları için tekrarlayın.Uygulanan yöntem
- Her iki belgeyi SARIF 2.1.0 yapısına karşı fail-closed doğrulayın; sürüm, runs, results, locations ve execution notifications kusurlarını sessizce yutmayın.
- Bulguları kural kimliği, normalize edilmiş fiziksel konum, mesaj ve kısmi fingerprint kanıtlarıyla eşleyin. Araç adı ya da sonuç sırası tek başına kimlik değildir.
- Yeni bulgu, çözülmüş bulgu, devam eden bulgu ve şiddet artışını ayrı sayın; suppress edilmiş kayıtların bütçeye girip girmediğini politikada görünür tutun.
- Aynı girdi byte’ları ve politika için deterministik artifact üretin; kararın kapsamadığı tarama kalitesini veya release güvenliğini receipt’e yazmayın.
Fixture’dan doğrudan gözlemler
Gözlem 1
Geçerli baseline ve düşük riskli candidate fixture, belirlenen bütçe içinde kalırsa tekrarlanabilir PASS adayı üretir.
Gözlem 2
Yeni error ya da izin verilenden fazla warning içeren candidate, bulgunun scanner sırasından bağımsız eşlenmesiyle BLOCK üretmelidir.
Gözlem 3
Bozuk SARIF veya eksik execution bilgisi güvenilir delta çıkarılamıyorsa INDETERMINATE olmalıdır; hatalı PASS kabul edilmez.
Bu gözlemler fixture satırları ve beklenen politika davranışıyla sınırlıdır. Canlı bir run için çalışma tezgâhının ürettiği JSON, CSV, Markdown/SVG ve receipt birlikte incelenmelidir.
Yanlış yaklaşım örnekleri
- Scanner’ın ‘fixed’ etiketini doğrulamadan çözülmüş saymak bulgu kaybını gizleyebilir.
- Farklı tarama kapsamlarını karşılaştırmak sahte yeni veya çözülmüş finding üretir.
- Gate PASS sonucunu güvenlik sertifikası gibi sunmak aracın gerçeklik sınırını aşar.
Sınırlar ve gizlilik
Araç kodu taramaz, zafiyetin sömürülebilirliğini doğrulamaz, suppression gerekçesini onaylamaz ve release’in güvenli olduğunu garanti etmez. Sonuç yalnız sağlanan iki rapor, eşleme yöntemi ve seçili yerel bütçe için geçerlidir.
Fixture’lar sentetiktir. Gerçek veri kullanacaksanız veri minimizasyonu, erişim yetkisi ve saklama politikasını araçtan bağımsız biçimde değerlendirin. Tarayıcı içi işleme, cihaz veya tarayıcı eklentilerinin güvenilir olduğu garantisini vermez.
Resmî ve birincil kaynaklar
Düzeltme ve yeniden üretim kanalı
FastTool bu benchmark’ın yayıncısıdır. Yanlış sayı, stale kaynak, bozuk fixture veya hash uyuşmazlığını [email protected] adresine sayfa URL’si ve dayanakla iletin. İnceleme tarihi 2026-07-13; fixture hash’leri build sırasında eşleşen İngilizce benchmark kaydından okunmuştur.