跳到主要内容

安全

关于扫描结果json文件内容结构的说明

当您的应用完成检测后,您可以将检测结果文件通过OpenAPI接口上传到平台(保存安全扫描结果)。上传检测结果文件后,您可以在对应仓库下->安全->代码扫描页面查看检测结果。

扫描结果属性描述

属性类型描述是否必传
scanInfoObject包含有关扫描信息的对象
repositoryObject有关代码仓库的信息对象
appObject应用信息对象
leakResultsArray包含有关漏洞检测结果的数组
permitResultsArray包含有关许可证检测结果的数组
maintenanceResultsArray包含有关维护风险检测结果的数组
codeResultsArray包含有关静态代码检测结果的数组
comprehensiveReportString综合报告文件的链接

scanInfo 属性描述

属性名类型描述是否必传
typeString触发类型
idString触发扫描任务的 ID
senderObject触发人信息

scanInfo.sender 属性描述

属性名类型描述是否必传
idString用户或组织 ID
typeString类型,用户或组织
loginString用户名

repository 属性描述

属性名类型描述是否必传
idString仓库 ID
nameString仓库名称
branchString仓库分支
commitIdString提交 ID
permitString许可证信息

app 属性描述

属性名类型描述是否必传
idString应用程序 ID
nameString应用程序名称
versionString应用程序版本

leakResults 属性描述

子属性类型描述是否必传
nameString漏洞名称
numberString漏洞编号
precisionString风险等级,0:未分级1:紧急2:高危3:中危4:低危
propertiesObject包含有关漏洞属性的对象
NVDCVSS3PropertiesObject包含有关漏洞的 CVSS3 属性的对象
NVDCVSS2PropertiesObject包含有关漏洞的 CVSS2 属性的对象
locationsArray包含有关漏洞位置的数组

leakResults.properties 属性描述

子属性类型描述是否必传
descriptionString漏洞描述
releaseTimeString发布时间
PoCArrayProof of Concept(PoC)示例,String数组
officialPatchesLinkArray官方补丁链接,String数组
mitigatesString缓解措施文本描述
referLinksArray参考链接,String数组
suggestionsArray建议
lableArray漏洞标签
CPEArrayCPE,string数组
similarLeakArray相似漏洞
leakHistoryArray漏洞发展历史

leakResults.properties.lable 属性描述

子属性类型描述是否必传
nameString名称
introduceString简介
jumpUrlString点击后的跳转链接

leakResults.properties.similarLeak 属性描述

子属性类型描述是否必传
numberString编号
nameString名称
jumpUrlString点击后的跳转链接

leakResults.properties.leakHistory 属性描述

子属性类型描述是否必传
eventString事件名称
timeString时间

leakResults.properties.suggestions 属性描述

子属性类型描述是否必传
titleString标题
descriptionString描述

leakResults.NVDCVSS3Properties 属性描述

子属性类型描述是否必传
scoreNumber分数
AVString攻击向量
ACString攻击复杂度
PRString权限要求
UIString用户交互
SString影响范围
CString机密性
IString完整性
AString可用性
precisionString风险等级,1:高风险2:中风险3:低风险
vectorStringString向量字符串,eg:AV:N/AC:L/Au:N/C:N/I:N/A:P

leakResults.NVDCVSS2Properties 属性描述

子属性类型描述是否必传
scoreNumber分数
AVString攻击向量
ACString攻击复杂度
AuStringAu
CString机密性
IString完整性
AString可用性
precisionString风险等级,1:高风险2:中风险3:低风险
vectorStringString向量字符串,eg:AV:N/AC:L/Au:N/C:N/I:N/A:P

leakResults.locations 属性描述

子属性类型描述
physicalLocationObject包含有关物理位置的对象

leakResults.locations.physicalLocation 属性描述

子属性类型描述
artifactLocationObject包含有关组件位置的对象

leakResults.locations.physicalLocation.artifactLocation 属性描述

子属性类型描述是否必传
nameString组件名称
versionString组件版本
fixVersionString修复版本
uriString构件位置的 URI

permitResults 属性描述

子属性类型描述是否必传
nameString许可证名称
conflictNameString冲突许可证名称
componentNameString组件名称
componentVersionString组件版本
conflictComponentNameString冲突组件名称
conflictComponentVersionString冲突组件版本
conflictDescriptionArray冲突描述数组,String数组
propertiesObject包含有关许可证属性的对象
locationsArray包含有关许可证位置的数组

permitResults.properties 属性描述

子属性类型描述是否必传
descriptionString许可证描述
referLinksArray参考链接,String数组

permitResults.locations 属性描述

子属性类型描述
physicalLocationObject包含有关物理位置的对象

permitResults.locations.physicalLocation 属性描述

子属性类型描述
artifactLocationObject包含有关许可证位置的对象

permitResults.locations.physicalLocation.artifactLocation 属性描述

子属性类型描述是否必传
uriStringLICENCE文件所在位置
conflictUriString冲突LICENCE文件所在位置

maintenanceResults 属性描述

子属性类型描述是否必传
nameString组件名称
versionString组件版本
addressString上游项目地址
typeString风险类型,断供风险/停服风险
propertiesObject包含有关风险属性的对象

maintenanceResults.properties 属性描述

子属性类型描述是否必传
descriptionString风险描述
referLinksArray参考链接,String数组

codeResults 属性描述

子属性类型描述是否必传
nameString风险名称
precisionString风险等级,0:未分级1:紧急2:高危3:中危4:低危
propertiesObject包含有关风险属性的对象
locationsArray包含有关风险位置的数组

codeResults.properties 属性描述

子属性类型描述是否必传
descriptionString风险描述
referLinksArray参考链接,String数组

locations 属性描述

子属性类型描述
physicalLocationObject包含有关物理位置的对象

locations.physicalLocation 属性描述

子属性类型描述
artifactLocationObject包含有关代码位置的对象

locations.physicalLocation.artifactLocation 属性描述

子属性类型描述是否必传
uriString代码所在文件路径

locations.physicalLocation.artifactLocation.region 属性描述

子属性类型描述是否必传
startLineNumber起始行号
startColumnNumber起始列号
endColumnNumber结束列号

示例

{
"runs":[
{
"scanInfo":{
"type":"Webhook",
"id":"123",
"sender":{
"id":"321",
"type":"User",
"login":"username"
}
},
"respository":{
"id": "35170",
"name":"respositoryName",
"branch":"master",
"commitId":"1234567890123456789012345678901234567890",
"permit":"GPL-3.0"
},
"app":{
"id": "324",
"name": "毒霸爸爸",
"version": "1.0.0"
},
"leakResults":[
{
"name":"远程脚本执行漏洞",
"number":"cve-2020-1000",
"precision": "1",
"properties":{
"description":"漏洞描述",
"releaseTime": "2019-08-14",
"PoC": ["POC"],
"officialPatchesLink":[
"官方补丁链接1",
"官方补丁链接2"
],
"mitigates":"缓解措施文本描述",
"referLinks":[
"参考链接1",
"参考链接2"
],
"suggestions":[{
"title":"标题",
"description":"描述"
}]
},
"NVDCVSS3Properties":{
"score":75,
"AV":"攻击向量",
"AC":"攻击复杂度",
"PR":"权限要求",
"UI":"用户交互",
"S":"影响范围",
"C":"机密性",
"I":"完整性 ",
"A":"可用性",
"vectorString":"AV:N/AC:L/Au:N/C:N/I:N/A:P"
},
"NVDCVSS2Properties":{
"score":75,
"AV":"攻击向量",
"AC":"攻击复杂度",
"Au":"AU",
"C":"机密性",
"I":"完整性 ",
"A":"可用性",
"vectorString":"AV:N/AC:L/Au:N/C:N/I:N/A:P"
},
"locations": [
{
"physicalLocation": {
"artifactLocation": {
"name":"组件名称",
"version":"组件版本",
"fixVersion":"对应组件的修复版本",
"uri": "src/pom.xml"
}
}
}
]
}
],
"permitResults":[
{
"name":"GPL",
"componentName":"组件名称",
"componentVersion":"组件版本",
"conflictComponentName":"冲突组件名称",
"conflictComponentVersion":"冲突组件版本",
"conflictDescription":["冲突描述1","冲突描述2"],
"precision":"1",
"properties":{
"description":"许可证描述",
"referLinks":[
"参考链接1",
"参考链接2"
]
},
"locations": [
{
"physicalLocation": {
"artifactLocation": {
"uri": "src/package/xxxxx/LICENCE",
"conflictUri": "src/package/yyyy/LICENCE"
}
}
}
]
}
],
"maintenanceResults":[
{
"name":"组件名称",
"version":"组件版本",
"address": "https://atomgit.com/xxx/yyy",
"type":"断供风险",
"properties":{
"description":"风险描述",
"referLinks":[
"参考链接1",
"参考链接2"
]
}
}
],
"codeResults":[
{
"name":"未使用到的变量",
"precision":"1",
"properties":{
"description":"风险描述",
"referLinks":[
"参考链接1",
"参考链接2"
]
},
"locations": [
{
"physicalLocation": {
"artifactLocation": {
"uri": "src/main.js"
},
"region": {
"startLine": 2,
"startColumn": 7,
"endColumn": 10
}
}
}
]
}
],
"comprehensiveReport":"https://atomgit.oss-cn-beijing.aliyuncs.com/security/result/代码风险报告.doc"
}
]
}