{"meta":{"title":"CodeQL CLI SARIF 출력","intro":"SARIF를 CodeQL CLI 출력하고 정적 분석 결과를 다른 시스템과 공유할 수 있습니다.","product":"보안 및 코드 품질","breadcrumbs":[{"href":"/ko/code-security","title":"보안 및 코드 품질"},{"href":"/ko/code-security/reference","title":"Reference"},{"href":"/ko/code-security/reference/code-scanning","title":"코드 검사"},{"href":"/ko/code-security/reference/code-scanning/codeql","title":"CodeQL"},{"href":"/ko/code-security/reference/code-scanning/codeql/codeql-cli","title":"CodeQL 커맨드 라인 인터페이스 (CLI)"},{"href":"/ko/code-security/reference/code-scanning/codeql/codeql-cli/sarif-output","title":"SARIF 출력"}],"documentType":"article"},"body":"# CodeQL CLI SARIF 출력\n\nSARIF를 CodeQL CLI 출력하고 정적 분석 결과를 다른 시스템과 공유할 수 있습니다.\n\n## SARIF 출력 알아보기\n\nSARIF는 광범위한 정적 분석 도구의 출력을 나타내도록 설계되었으며 SARIF 사양에는 \"선택 사항\"으로 간주되는 많은 기능이 있습니다. 이 문서에서는 SARIF v2.1.0.csd1 사양에 해당하는 형식 유형 `sarifv2.1.0`을 사용할 때 생성되는 출력에 대해 자세히 설명합니다. 분석 결과에 대한 파일 형식을 선택하는 방법에 대한 자세한 내용은 [데이터베이스 분석하기](/ko/code-security/codeql-cli/codeql-cli-manual/database-analyze)을(를) 참조하세요.\n\n## SARIF 사양 및 스키마\n\n이 문서는 자세한 SARIF 사양과 함께 읽기 위한 것입니다. 사양 및 SARIF 스키마에 대한 자세한 내용은 [SARIF 사양 설명서](https://docs.oasis-open.org/sarif/sarif/v2.1.0/sarif-v2.1.0.html)를 참조하세요.\n\n## 변경 내용 참고\n\n### 버전 간 변경 내용\n\n| CodeQL 버전 | 형식 유형 | Changes |\n| --------- | ------------- | ----------------- |\n| 2.0.0 | `sarifv2.1.0` | 이 형식의 첫 번째 버전입니다. |\n\n### 출력의 향후 변경 내용\n\n지정된 특정 형식 형식(예 `sarifv2.1.0`: )에 대해 생성된 출력은 이후 CodeQL 릴리스에서 변경될 수 있습니다. 생성된 SARIF를 사용하는 사용자의 이전 호환성을 유지하기 위해 다음을 보장하도록 노력할 것입니다.\n\n* 항상 생성되는 것으로 표시된 필드는 제거되지 않습니다.\n\n* 항상 생성되지 않는 것으로 표시된 필드의 경우 필드가 생성되는 상황이 변경될 수 있습니다.\n CodeQL SARIF 출력 사용자는 이러한 필드의 유무와 관계없이 이를 유연하게 처리할 수 있어야 합니다.\n\n새 출력 필드는 동일한 형식 유형으로 향후 릴리스에 추가될 수 있습니다. 이러한 필드는 이전 버전과의 호환성을 손상하는 것으로 간주되지 않으며 소비자는 새로 추가된 필드의 존재에 대해 강력해야 합니다.\n\n새 형식 인수 형식은 새 버전의 CodeQLSARIF를 지원하기 위해 이후 버전에서 추가될 수 있습니다. 명시적으로 문서화되지 않는 한 이전 버전과의 호환성을 보장하지 않습니다.\n\n## 생성된 SARIF 개체\n\n특정 상황과 함께 생성될 수 있는 각 SARIF 구성 요소에 대해 자세히 설명합니다. 생성되지 않는 속성은 생략합니다.\n\n### `sarifLog` 개체\n\n| JSON 속성 이름 | 항상 생성하시겠습니까? | 비고 |\n| ---------------------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------ |\n| `$schema` | | |\n| [SARIF 스키마](https://docs.oasis-open.org/sarif/sarif/v2.1.0/errata01/os/schemas/sarif-schema-2.1.0.json)에 대한 링크를 제공합니다. | | |\n| `version` | | 출력을 생성하는 데 사용되는 SARIF의 버전입니다. |\n| `runs` | | 한 언어에 대한 단일 실행 개체를 포함하는 배열입니다. |\n\n### `run` 개체\n\n| JSON 속성 이름 | 항상 생성하시겠습니까? | 비고 |\n| ------------------ | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------- |\n| `tool` | | None |\n| `artifacts` | | 결과에서 참조되는 모든 파일에 대해 하나 이상의 아티팩트 개체를 포함하는 배열입니다. |\n| `results` | | None |\n| `newLineSequences` | | None |\n| `columnKind` | | None |\n| `properties` | | 속성 사전에는 CodeQL CLI에 전달된 형식 지정자를 식별하는 `semmle.formatSpecifier`가 포함됩니다. |\n\n### `tool` 개체\n\n| JSON 속성 이름 | 항상 생성하시겠습니까? | 비고 |\n| ---------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---- |\n| `driver` | | None |\n\n### `toolComponent` 개체\n\n| JSON 속성 이름 | 항상 생성하시겠습니까? | 비고 |\n| ---------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |\n| `name` | | CodeQL 도구의 출력에 대해 \"CodeQL CLI 명령줄 도구 체인\"(으)로 설정합니다. 다른 도구를 사용하여 출력이 생성된 경우 다른 `name`이 보고되며 형식은 여기에 설명된 것과 다를 수 있습니다. |\n| `organization` | | \"GitHub\"로 설정. |\n| `version` | | |\n| CodeQL 릴리스 버전(예: \"2.0.0\")으로 설정합니다. | | |\n| `rules` | | 규칙을 나타내는 `reportingDescriptor` 개체의 배열입니다. 이 배열은 최소한 이 분석 중에 실행된 모든 규칙을 포함하지만, 사용할 수 있지만 실행되지 않은 규칙을 포함할 수 있습니다. 쿼리를 사용하도록 설정하는 방법에 대한 자세한 내용은 `defaultConfiguration`을 참조하세요. |\n\n### `reportingDescriptor` 개체(규칙용)\n\n`reportingDescriptor` 개체는 SARIF 사양의 여러 위치에서 사용할 수 있습니다.\n`reportingDescriptor`가 `toolComponent` 개체의 규칙 배열에 포함되면 다음과 같은 속성을 갖습니다.\n\n| JSON 속성 이름 | 항상 생성하시겠습니까? | 비고 |\n| ---------------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------ |\n| `id` | | 일반적으로 `@id` 형식(예: `language/rule-name`)인 규칙을 정의하는 쿼리에 지정된 `cpp/unsafe-format-string` 속성을 포함합니다. 조직에서 쿼리에 `@opaqueid` 속성을 정의하는 경우 대신 사용됩니다. |\n| `name` | | 쿼리에 지정된 `@id` 속성을 포함합니다. 예는 `id` 속성을 참조하세요. |\n| `shortDescription` | | 규칙을 정의하는 쿼리에 지정된 `@name` 속성을 포함합니다. |\n| `fullDescription` | | 규칙을 정의하는 쿼리에 지정된 `@description` 속성을 포함합니다. |\n| `defaultConfiguration` | | |\n| `reportingConfiguration` 개체로서, 사용 가능한 속성이 true 또는 false로 설정되고, 규칙을 정의하는 쿼리에 지정된 `@severity` 속성에 따라 수준 속성이 설정됩니다. | | |\n| `@severity` 속성이 지정되지 않은 경우 생략됩니다. | | |\n\n### `artifact` 개체\n\n| JSON 속성 이름 | 항상 생성하시겠습니까? | 비고 |\n| -------------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | -- |\n| `location` | | |\n| `artifactLocation` 개체입니다. | | |\n| `index` | | |\n| `artifact` 개체의 인덱스입니다. | | |\n| `contents` | | |\n| `--sarif-add-file-contents` 플래그를 사용하여 결과가 생성되고 SARIF 파일이 생성될 때 소스 코드를 사용할 수 있는 경우 `contents` 속성은 `artifactContent` 속성이 설정된 `text` 개체로 채워집니다. | | |\n\n### `artifactLocation` 개체\n\n| JSON 속성 이름 | 항상 생성하시겠습니까? | 비고 |\n| ----------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------- |\n| `uri` | | None |\n| `index` | | None |\n| `uriBaseId` | | 파일이 분석 컴퓨터의 루트 원본 위치와 같은 알려진 추상 위치를 기준으로 하는 경우 이 속성이 설정됩니다. |\n\n### `result` 개체\n\n결과의 컴퍼지션은 제공된 CodeQL옵션에 따라 달라집니다. 기본적으로 결과는 고유한 메시지 형식 문자열 및 기본 위치별로 그룹화됩니다. 따라서 동일한 기본 메시지를 사용하여 동일한 위치에서 발생하는 두 개의 결과는 출력에 하나의 결과로 표시됩니다. 이 동작은 `--ungroup-results` 플래그를 사용하여 사용하지 않을 수 있으며, 이 경우 결과가 그룹화되지 않습니다.\n\n| JSON 속성 이름 | 항상 생성하시겠습니까? | 비고 |\n| ----------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------- |\n| `ruleId` | | |\n| `id` 개체(규칙용)의 `reportingDescriptor` 속성에 대한 설명을 참조하세요. | | |\n| `ruleIndex` | | None |\n| `message` | | 이 위치에서 발생하는 문제를 설명하는 메시지입니다. 이 메시지는 `relatedLocations` 속성의 위치를 참조하는 링크를 포함하는 SARIF \"자리 표시자가 있는 메시지\"일 수 있습니다. |\n| `locations` | | 하나의 `location` 개체를 포함하는 배열입니다. |\n| `partialFingerprints` | | 이름이 지정된 지문 유형과 지문을 연결하는 사전입니다. 여기에는 최소한 기본 위치의 컨텍스트에 따라 지문을 제공하는 `primaryLocationLineHash` 값이 포함됩니다. |\n| `codeFlows` | | 이 결과에 대한 규칙을 정의하는 쿼리가 `codeFlow`인 경우 이 배열은 하나 이상의 `@kind path-problem` 개체로 채워질 수 있습니다. |\n| `relatedLocations` | | 이 결과에 대한 규칙을 정의하는 쿼리에 자리 표시자 옵션이 있는 메시지가 있는 경우 이 배열이 채워집니다. 각 고유한 위치는 한 번 포함됩니다. |\n| `suppressions` | | 결과가 억제된 경우, `suppression` 속성이 `@kind`로 설정된 단일 `IN_SOURCE` 개체를 포함합니다. 이 결과가 억제되지 않지만, 억제가 있는 결과가 하나 이상 있는 경우에는 빈 배열로 설정되고, 그렇지 않으면 설정되지 않습니다. |\n\n### `location` 개체\n\n| JSON 속성 이름 | 항상 생성하시겠습니까? | 비고 |\n| ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---- |\n| `physicalLocation` | | None |\n| `id` | | |\n| `location` 개체의 `relatedLocations` 배열에 나타나는 `result` 개체는 `id` 속성을 포함될 수 있습니다. | | |\n| `message` | | |\n| `location` 개체는 다음과 같은 경우 `message` 속성을 포함할 수 있습니다.

- `relatedLocations` 속성을 포함할 수 있는 `result` 개체의 `message` 배열에 나타나는 경우

- `threadFlowLocation.location` 속성에 나타납니다. | | |\n\n### `physicalLocation` 개체\n\n| JSON 속성 이름 | 항상 생성하시겠습니까? | 비고 |\n| ------------------ | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------- |\n| `artifactLocation` | | None |\n| `region` | | 주어진 `physicalLocation`이 텍스트 파일(예: 소스 코드 파일)에 있는 경우 `region` 속성이 있을 수 있습니다. |\n| `contextRegion` | | 이 위치에 연결된 `snippet`이 있는 경우 존재할 수 있습니다. |\n\n### `region` 개체\n\n다음과 같은 두 가지 유형의 `region` 개체가 생성됩니다 CodeQL.\n\n* 줄/열 오프셋 영역\n\n* 문자 오프셋 및 길이 영역\n\n생성된 CodeQL 모든 지역은 어느 형식으로든 지정할 수 있으며 소비자는 두 형식 중 하나를 강력하게 처리해야 합니다.\n\n줄/열 오프셋 영역의 경우 다음 속성이 설정됩니다.\n\n| JSON 속성 이름 | 항상 생성하시겠습니까? | 비고 |\n| ---------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | --------------------- |\n| `startLine` | | None |\n| `startColumn` | | 기본값 1과 같으면 포함되지 않습니다. |\n| `endLine` | | |\n| `startLine`과 동일하면 포함되지 않습니다. | | |\n| `endColumn` | | None |\n| `snippet` | | None |\n\n문자 오프셋 및 길이 영역의 경우 다음 속성이 설정됩니다.\n\n| JSON 속성 이름 | 항상 생성하시겠습니까? | 비고 |\n| ----------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---- |\n| `charOffset` | | |\n| `startLine`, `startColumn`, `endLine`, 및 `endColumn`이 채워지지 않은 경우 제공됩니다. | | |\n| `charLength` | | |\n| `startLine`, `startColumn`, `endLine`, 및 `endColumn`이 채워지지 않은 경우 제공됩니다. | | |\n| `snippet` | | None |\n\n### `codeFlow` 개체\n\n| JSON 속성 이름 | 항상 생성하시겠습니까? | 비고 |\n| ------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---- |\n| `threadFlows` | | None |\n\n### `threadFlow` 개체\n\n| JSON 속성 이름 | 항상 생성하시겠습니까? | 비고 |\n| ----------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---- |\n| `locations` | | None |\n\n### `threadFlowLocation` 개체\n\n| JSON 속성 이름 | 항상 생성하시겠습니까? | 비고 |\n| ---------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---- |\n| `location` | | None |"}