Alerts - Get
アラートを取得します。
GET https://advsec.dev.azure.com/{organization}/{project}/_apis/alert/repositories/{repository}/alerts/{alertId}?api-version=7.2-preview.1GET https://advsec.dev.azure.com/{organization}/{project}/_apis/alert/repositories/{repository}/alerts/{alertId}?ref={ref}&expand={expand}&api-version=7.2-preview.1URI パラメーター
| 名前 | / | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
alert
|
path | True |
integer (int64) |
取得するアラートの ID |
|
organization
|
path | True |
string |
Azure DevOps 組織の名前。 |
|
project
|
path | True |
string |
プロジェクト ID またはプロジェクト名 |
|
repository
|
path | True |
string |
アラートが含まれるリポジトリの名前または ID |
|
api-version
|
query | True |
string |
使用する API のバージョン。 このバージョンの API を使用するには、これを '7.2-preview.1' に設定する必要があります。 |
|
expand
|
query |
シークレット アラートの属性を展開します。 設定可能な値は |
||
|
ref
|
query |
string |
応答
| 名前 | 型 | 説明 |
|---|---|---|
| 200 OK |
成功した操作 |
セキュリティ
oauth2
型:
oauth2
フロー:
accessCode
Authorization URL (承認 URL):
https://app.vssps.visualstudio.com/oauth2/authorize&response_type=Assertion
Token URL (トークン URL):
https://app.vssps.visualstudio.com/oauth2/token?client_assertion_type=urn:ietf:params:oauth:client-assertion-type:jwt-bearer&grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer
スコープ
| 名前 | 説明 |
|---|---|
| vso.advsec | アラート、結果インスタンス、分析結果インスタンスを読み取る機能を付与します |
定義
| 名前 | 説明 |
|---|---|
| Alert | |
|
Alert |
アラートの種類。 シークレット、コードなど |
|
Alert |
アラート API と UI の一部となるアラートの有効性データ。 |
|
Alert |
|
| Confidence |
アラートの信頼度レベル。 |
|
Dependency |
この論理的な場所の依存関係の種類。 |
| Dismissal |
アラートの無視に関する情報 |
|
Dismissal |
解雇の理由 |
|
Expand |
シークレット アラートの属性を展開します。 設定可能な値は |
|
Identity |
|
| License |
依存関係のライセンス情報 |
|
License |
ライセンスの状態 |
|
License |
ライセンスの種類 |
|
Logical |
|
|
Physical |
問題が見つかったソース管理システム内の場所 |
|
Reference |
REST 参照リンクのコレクションを表すクラス。 |
| Region | |
|
Relation |
アラートに関連付けるメタデータ。 |
| Rule |
アラートの原因となった分析ルール。 |
| Severity |
アラートの重大度。 |
| State |
この値は、サービスによって計算され、返されます。 これは、すべての分析構成の結果に基づく値です。 |
| Tool |
セキュリティ アラートを生成できる分析ツール |
|
Validation |
|
|
Validation |
検証の結果。 |
|
Version |
ソース管理システムでファイルを検索するための情報 |
Alert
| 名前 | 型 | 説明 |
|---|---|---|
| additionalProperties |
object |
このアラートの追加のプロパティ。 |
| alertId |
integer (int64) |
アラートの識別子。 これは Azure DevOps 組織内で一意です。 |
| alertType |
アラートの種類。 シークレット、コードなど |
|
| confidence |
アラートの信頼度レベル。 |
|
| dismissal |
アラートが無視された場合のアラートの無視に関する情報が含まれます。 |
|
| firstSeenDate |
string (date-time) |
この値は、サービスによって計算され、返されます。 この値は、サービスで分析インスタンスでこの問題が初めて報告された時刻を表します。 |
| fixedDate |
string (date-time) |
この値は、サービスによって計算され、返されます。 問題が修正された場合、この値は、分析インスタンスで修正されたこの問題をサービスが見た時刻を表します。 |
| gitRef |
string |
git オブジェクトへの参照 (ブランチ参照など)。 |
| hasTrustedSourceOrigin |
boolean |
値は、アラートが信頼できるソースからアップロードされたSARIFから来ているかどうかを示します。 |
| introducedDate |
string (date-time) |
この値は、サービスによって計算され、返されます。 この値は、脆弱性が初めて導入された時刻を表します。 |
| lastSeenDate |
string (date-time) |
この値は、サービスによって計算され、返されます。 この値は、サービスで分析インスタンスでこの問題が報告された最後の時刻を表します。 |
| logicalLocations |
アラートの論理的な場所。 この値は、サービスによって計算され、返されます。 これは、すべての分析構成の結果に基づく値です。 論理上の場所の例として、コンポーネントがあります。 |
|
| physicalLocations |
この値は、サービスによって計算され、返されます。 これは、すべての分析構成の結果に基づく値です。 物理的な場所の例として、ファイルの場所があります。 |
|
| projectId |
string (uuid) |
アラートが検出されたプロジェクトの識別子。 |
| relations |
アラートとその他の成果物の関係。 |
|
| repositoryId |
string |
アラートが検出されたリポジトリの識別子。 |
| repositoryUrl |
string |
アラートが検出されたリポジトリ URL。 |
| severity |
アラートの重大度。 |
|
| state |
この値は、サービスによって計算され、返されます。 これは、すべての分析構成の結果に基づく値です。 |
|
| title |
string |
タイトルはテキストとしてのみレンダリングされ、マークダウンの書式設定はサポートされません。 文字の上限は 256 です。 |
| tools |
Tool[] |
この問題を検出したツール。 |
| truncatedSecret |
string |
アラートに関連するシークレットの切り捨て/難読化されたバージョン (該当する場合)。 |
| validationFingerprints |
シークレットのライブネス チェックの ValidationFingerprints。 Expand パラメーターが ValidationFingerprint に設定された Get API でのみオンデマンドで返されます (List API では返されません) |
|
| validityDetails |
アラートの有効性の詳細。 現時点では、これはシークレット アラートにのみ適用されます。 シークレット アラートの場合、有効期間の状態と時刻は、アラートに関連付けられている検証フィンガープリントのライブネス結果を調べることによって計算されます。 |
AlertType
アラートの種類。 シークレット、コードなど
| 値 | 説明 |
|---|---|
| unknown |
コードに未指定の脆弱性の種類がある |
| dependency |
このコードでは、既知の脆弱性を持つ依存関係が使用されます。 |
| secret |
このコードには、侵害されたシークレットが含まれており、取り消す必要があります。 |
| code |
このコードには、静的分析によって決定される弱点が含まれています。 |
AlertValidityInfo
アラート API と UI の一部となるアラートの有効性データ。
| 名前 | 型 | 説明 |
|---|---|---|
| validityLastCheckedDate |
string (date-time) |
|
| validityStatus |
AlertValidityStatus
| 値 | 説明 |
|---|---|
| none |
アラートに検証フィンガープリントがアタッチされていない場合。 |
| unknown |
アラートに関連付けられている検証フィンガープリントの検証が確定していない場合。 |
| active |
アラートに関連付けられている検証フィンガープリントが少なくとも 1 つ悪用される場合。 |
| inactive |
アラートに関連付けられているすべての検証フィンガープリントが悪用できない場合。 |
Confidence
アラートの信頼度レベル。
| 値 | 説明 |
|---|---|
| high |
アラートの高い信頼度レベル |
| other |
アラートのその他の信頼度レベル |
DependencyKind
この論理的な場所の依存関係の種類。
| 値 | 説明 |
|---|---|
| unknown | |
| rootDependency |
ルート依存関係によって、アラートが生成されるコンポーネントが導入されました。 |
| component |
アラートを受け取るコンポーネント。 |
| vulnerableDependency |
脆弱な依存関係。 この値を非推奨にしました。 代わりにコンポーネントを使用してください。 |
Dismissal
アラートの無視に関する情報
| 名前 | 型 | 説明 |
|---|---|---|
| dismissalId |
integer (int64) |
この無視の一意の ID |
| dismissalType |
解雇の理由 |
|
| message |
string |
無視に添付された情報メッセージ |
| stateChangedBy |
string (uuid) |
アラートを無視した ID |
| stateChangedByIdentity |
アラートを無視した ID |
DismissalType
解雇の理由
| 値 | 説明 |
|---|---|
| unknown |
無視の型が不明です |
| fixed |
アラートが修正されたことを示す無視 |
| acceptedRisk |
ユーザーがアラートのリスクを受け入れることを示す無視 |
| falsePositive |
アラートが誤検知であることを示す無視は修正されない可能性があります。 |
| agreedToGuidance |
ユーザーがライセンス ガイダンスに従うことに同意したことを示す無視。 |
| toolUpgrade |
バックエンド検出ツールがアップグレードされ、新しいバージョンのツールによってアラートが検出されていないことを示す無視。 |
| notDistributed |
影響を受ける依存関係を示す無視は、エンド ユーザーに配布されません。 |
ExpandOption
シークレット アラートの属性を展開します。 設定可能な値は None および ValidationFingerprint です。 既定値は None です。
expandがValidationFingerprintに設定されている場合、応答には暗号化されていない形式でシークレットが含まれている可能性があることに注意してください。 このデータを使用する場合は注意が必要です。
| 値 | 説明 |
|---|---|
| none |
展開なし。 |
| validationFingerprint |
Alert で validationFingerprints を返します。 |
IdentityRef
| 名前 | 型 | 説明 |
|---|---|---|
| _links |
このフィールドには、グラフの件名に関する興味深いリンクが 0 個以上含まれています。 これらのリンクを呼び出して、このグラフの件名に関する追加のリレーションシップや詳細情報を取得できます。 |
|
| descriptor |
string |
記述子は、システムの実行中にグラフの件名を参照する主な方法です。 このフィールドは、アカウントと組織の両方で同じグラフの件名を一意に識別します。 |
| directoryAlias |
string |
非推奨 - IdentityRef "_links" ディクショナリの "自己" エントリで参照されている Graph ユーザーにクエリを実行することで取得できます |
| displayName |
string |
これは、グラフの件名の一意でない表示名です。 このフィールドを変更するには、ソース プロバイダーでその値を変更する必要があります。 |
| id |
string |
|
| imageUrl |
string |
非推奨 - IdentityRef "_links" ディクショナリの "アバター" エントリで使用できます |
| inactive |
boolean |
非推奨 - GraphUser "_links" ディクショナリの "membershipState" エントリで参照されている Graph メンバーシップの状態を照会することで取得できます |
| isAadIdentity |
boolean |
非推奨 - 記述子のサブジェクト型 (Descriptor.IsAadUserType/Descriptor.IsAadGroupType) から推論できます |
| isContainer |
boolean |
非推奨 - 記述子のサブジェクト型 (Descriptor.IsGroupType) から推論できます |
| isDeletedInOrigin |
boolean |
|
| profileUrl |
string |
非推奨 - ToIdentityRef の既存のほとんどの実装では使用されていません |
| uniqueName |
string |
非推奨 - 代わりに Domain+PrincipalName を使用する |
| url |
string |
この URL は、このグラフの件名のソース リソースへの完全なルートです。 |
License
依存関係のライセンス情報
| 名前 | 型 | 説明 |
|---|---|---|
| name |
string |
ライセンス名 |
| state |
ライセンスの状態 |
|
| type |
ライセンスの種類 |
|
| url |
string |
ライセンス情報の URL |
LicenseState
ライセンスの状態
| 値 | 説明 |
|---|---|
| unknown |
ライセンスの情報は ClearlyDefined によって収集されていません |
| notHarvested |
ライセンスの情報は ClearlyDefined によって収集されていません |
| harvested |
ライセンスの情報は ClearlyDefined によって収集されました |
LicenseType
ライセンスの種類
| 値 | 説明 |
|---|---|
| unknown |
ライセンスの種類が不明であるか、指定されていません。 |
| permissive |
制限のないライセンスを使用すると、最小限の制限でソフトウェアを自由に使用、変更、配布できます。 例: MIT、Apache 2.0。 |
| weakCopyleft |
弱いコピーレフト ライセンスでは、ソフトウェアの変更を同じライセンスで共有する必要がありますが、ソフトウェアを含む大規模な作品に制限を課すことはありません。 例: LGPL。 |
| strongCopyleft |
強力なコピーレフト ライセンスでは、ソフトウェアを含む派生物またはより大きな作品も同じライセンスで配布する必要があります。 例: GPL。 |
| networkCopyleft |
ネットワーク コピーレフト ライセンスは、コピーレフトの要件を、ネットワーク経由でアクセスされるソフトウェアに拡張し、ソース コードを使用できるようにする必要があります。 例: AGPL。 |
| other |
標準カテゴリに適合しない、またはカスタム定義のライセンス。 CGでは、商用ライセンスを示す。 |
| noAssertion |
ライセンスの種類に関するアサーションは行われず、指定されていません。 |
LogicalLocation
| 名前 | 型 | 説明 |
|---|---|---|
| fullyQualifiedName |
string |
|
| kind |
この論理的な場所の依存関係の種類。 |
|
| license |
種類が "コンポーネント" で、この場所のアラートの alertType が License の場合にのみ適用される依存関係のライセンス情報 |
PhysicalLocation
問題が見つかったソース管理システム内の場所
| 名前 | 型 | 説明 |
|---|---|---|
| filePath |
string |
問題が見つかったファイルのパス |
| isValidGitPath |
boolean |
パスが、アラートに関連付けられている Git リポジトリに存在する有効な Git パスであるかどうかを示します。 |
| region |
スニペットを含め、問題が見つかった場所に関する詳細 |
|
| versionControl |
場所に関するソース管理システム固有の情報 |
ReferenceLinks
REST 参照リンクのコレクションを表すクラス。
| 名前 | 型 | 説明 |
|---|---|---|
| links |
object |
リンクの読み取りビュー。 参照リンクは読み取り専用であるため、読み取り専用として公開する必要があります。 |
Region
| 名前 | 型 | 説明 |
|---|---|---|
| columnEnd |
integer (int32) |
コード スニペットが終了する列 |
| columnStart |
integer (int32) |
コード スニペットが開始する列 |
| lineEnd |
integer (int32) |
コード スニペットが終了する行番号 |
| lineStart |
integer (int32) |
コード スニペットが開始する行番号 |
RelationMetadata
アラートに関連付けるメタデータ。
| 名前 | 型 | 説明 |
|---|---|---|
| attributes |
object |
メタデータの追加属性。 |
| rel |
string |
メタデータの型。 |
| url |
string |
メタデータの URL。 |
Rule
アラートの原因となった分析ルール。
| 名前 | 型 | 説明 |
|---|---|---|
| additionalProperties |
object |
規則の種類に応じて、この規則の追加のプロパティ。 たとえば、CVE ID が使用可能な場合は、依存関係ルールに CVE ID が含まれる場合があります。 |
| description |
string |
このルールで検出される内容の説明 |
| friendlyName |
string |
プレーンテキスト ルール識別子 |
| helpMessage |
string |
この規則に関する追加情報 |
| opaqueId |
string |
ツール固有のルール識別子 |
| resources |
string |
ルールの詳細については、Markdown 形式のリソースの一覧を参照してください。 場合によっては、RuleInfo.AdditionalProperties.advisoryUrls が代わりに使用されます。 |
| tags |
string[] |
このルールの分類タグ |
Severity
アラートの重大度。
| 値 | 説明 |
|---|---|
| low | |
| medium | |
| high | |
| critical | |
| note | |
| warning | |
| error | |
| undefined |
State
この値は、サービスによって計算され、返されます。 これは、すべての分析構成の結果に基づく値です。
| 値 | 説明 |
|---|---|
| unknown |
アラートの状態が不確定である |
| active |
コードでアラートが検出されました |
| dismissed |
ユーザーによってアラートが無視された |
| fixed |
コードで問題が検出されなくなりました |
| autoDismissed |
このツールは、問題がリスクではなくなったと判断しました |
Tool
セキュリティ アラートを生成できる分析ツール
| 名前 | 型 | 説明 |
|---|---|---|
| name |
string |
ツールの名前 |
| rules |
Rule[] |
ツールが定義するルール |
ValidationFingerprint
| 名前 | 型 | 説明 |
|---|---|---|
| assetFingerprint |
object |
資産フィンガープリントのキー値表現。 |
| c3Id |
string |
ValidationFingerprintJson 内のシークレットの CrossCompanyCorrelatingId を表します。 |
| validationFingerprintHash |
string |
シークレットに関連付けられているハッシュ。 |
| validationFingerprintJson |
string |
シークレットの JSON 表現。 このフィールドには、暗号化されていない形式でシークレットが含まれている可能性があることに注意してください。 このフィールドを使用するときは注意が必要です。 |
| validityLastUpdatedDate |
string (date-time) |
有効期間が最後に更新された日付。 |
| validityResult |
検証の結果。 |
ValidationResult
検証の結果。
| 値 | 説明 |
|---|---|
| none |
既定値。シークレットに関する情報はここから推論できません。 |
| exploitable |
リソースへの接続に使用できるシークレットを表します。 |
| notExploitable |
リソースへの接続に使用できないシークレットを表します。 |
| inconclusive |
悪用可能性について判断できないシークレットを表します。 |
| validationNotSupported |
検証できないシークレットを表します (動的検証が見つからない場合など)。 |
| transientError |
ネットワークの問題など、一時的なエラーが原因で検証プロセスが失敗したシークレットを表します。 この結果は、検証プロセスを再試行する必要があることを示します。 |
VersionControlDetails
ソース管理システムでファイルを検索するための情報
| 名前 | 型 | 説明 |
|---|---|---|
| commitHash |
string |
|
| itemUrl |
string |