SARIF Finding Delta ve Release Gate yükleniyor…
TARAYICIDA ÇALIŞAN KANIT İŞ AKIŞI
SARIF Finding Delta ve Release Gate
Önceki ve aday SARIF 2.1.0 raporlarını doğrular, finding’leri kararlı kimliklerle eşler, yeni veya şiddeti artan bulguları seçili bütçeye göre değerlendirir ve deterministik kanıt artifact’leri üretir.
Yerel inceleme sürümü · 2026-07-13
Uygulama güvenliği ve CIBu araç hangi işi tamamlar?
İki geçerli SARIF raporu arasındaki güvenlik değişimi, scanner’ın değişebilen etiketi yerine kararlı konum ve kural kanıtlarıyla yeniden üretilebilir mi?
Girdi sözleşmesi
Aynı kapsamı temsil eden baseline ve candidate SARIF 2.1.0 dosyaları ile açık yeni hata, yeni uyarı, şiddet artışı, execution failure ve suppression politikası.
Çıktı sözleşmesi
PASS, BLOCK veya INDETERMINATE kararı; finding delta JSON/CSV/Markdown, SVG özet, annotation SARIF, politika kaydı ve byte-hash paritesi taşıyan receipt.
İşlenmiş örnek değil, gerçek çalışma tezgâhı: Aşağıdaki kontroller tarayıcıda çalışan motora bağlıdır. Başlangıçta sonuç gösterilmez; fixture yükleyip çalıştırdığınızda yeni artifact ve receipt üretilir.
Yöntem ve doğrulama
- Her iki belgeyi SARIF 2.1.0 yapısına karşı fail-closed doğrulayın; sürüm, runs, results, locations ve execution notifications kusurlarını sessizce yutmayın.
- Bulguları kural kimliği, normalize edilmiş fiziksel konum, mesaj ve kısmi fingerprint kanıtlarıyla eşleyin. Araç adı ya da sonuç sırası tek başına kimlik değildir.
- Yeni bulgu, çözülmüş bulgu, devam eden bulgu ve şiddet artışını ayrı sayın; suppress edilmiş kayıtların bütçeye girip girmediğini politikada görünür tutun.
- Aynı girdi byte’ları ve politika için deterministik artifact üretin; kararın kapsamadığı tarama kalitesini veya release güvenliğini receipt’e yazmayın.
Kararı yalnız ekrandaki etikete göre değil, indirilen artifact byte’ları ve receipt içindeki SHA-256 değerleriyle doğrulayın. Aynı girdiyi bağımsız bir ortamda yeniden çalıştırmak, uygulamanın iddiasına kör güvenmekten daha güçlü kanıttır.
Tekrarlanabilir fixture’lar
Bu kontrollü dosyalar, motorun beklenen başarı ve engel davranışlarını gözlemlemek içindir. Gerçek bir sistem veya kurum sonucu gibi yorumlanamaz.
- baseline.sarifSHA-256 fbc18d49e1f35752fce06eadeab57d7af9458db849f68a78a24bfb06f52c7c22
- candidate-pass.sarifSHA-256 fbc18d49e1f35752fce06eadeab57d7af9458db849f68a78a24bfb06f52c7c22
- candidate-block.sarifSHA-256 b1c23c9d0b42814927795cb5e7c87c1d7a766c54cd31c00479441bf4c91bff09
ÜCRETSİZ CLI + CI COMPANION · v0.1.0
Aynı deterministik gate’i yerel geliştirme ve CI ortamına taşıyın
Doğrudan release; tarayıcıyla aynı SARIF motorunu, exact örnekleri, testleri, SHA-256 manifestini ve Receipt v1’i içerir. Node.js 20+ gerekir; kurulumdan önce arşivi doğrulayın.
npm install --save-dev /downloads/fasttool-evidence/v0.1.0/fasttool-evidence-cli-v0.1.0.tgzDirect-download canonical v0.1.0 kanalıdır; npm, GitHub repository veya Marketplace yayını iddia edilmez.
Kaynaklar, düzeltme ve sorumluluk
- OASIS SARIF 2.1.0 final standardı
- OASIS SARIF 2.1.0 final JSON Schema
- GitHub: SARIF dosyası desteği
- GitHub: code scanning sonuçlarını değerlendirme
FastTool bu sayfanın yayıncısıdır. Yanlış yöntem, bozuk fixture, hash uyuşmazlığı veya yanıltıcı ifade görürseniz [email protected] adresine sayfa URL’si, sorunlu ifade ve dayanakla bildirin. Bir QA etiketi bağımsız insan sertifikası değildir.