检测结果统计的key为“risks”,类型为JSONArray,格式如下:
"risks": [ { "name": "", "code": "", "enCategory": "", "category": "", "description": "", "suggestion": "", "vulnInfos": [ { "severity": "", "filename": "", "detail": [], "cve": {} } ] } ]
字段定义如下: 字段 类型 描述 name String 风险类型中文名称 code String 风险类型英文名称或风险类型代码 category String 风险类型分组中文名称 enCategory String 风险类型分组英文名称 description String 风险描述 suggestion String 修复建议 vulnInfos JSONArray 风险详细情况列表
VulnInfo定义如下: 字段 类型 描述 filename String 受影响的文件名 severity String 风险安全等级 detail JSONArray 风险详细描述,不同风险描述也不相同 cve JSONObject CVE漏洞列表,只有当前分组为CVE漏洞(CveVuln),该字段才有效。
detail字段,保存检测到的非CVE漏洞的详细信息,定义如下: 字段 类型 描述 cnName String 详细信息的中文描述名 enName String 详细信息的英文描述名 value JSONArray 风险详细信息,以JSONArray 存储。
cve字段,保存检测到的CVE漏洞的详细信息,定义如下: 字段 类型 描述 cveId String CVE漏洞标识 cweId String CVE漏洞类型标识
impact JSONObject 定义漏洞攻击向量、风险等级等。优先使用cvssV3,其中vectorString为攻击向量、severity为风险等级。 cpe JSONObject 为Common Platform Enumeration的缩写,描述软硬件产品的唯一标识符。 参考下面的cpe结构说明。 description String 漏洞描述信息。 references JSONArray 参考信息。其中referenceType为参考类型,referenceSource为参考源,referenceUrl为参考链接地址。
cpe结构说明:
"cpe": { "cpeName": "", "cpeType": "", "allFixedVersion": { "expression": "", "version": "" }, "highCriticalFixedVersion": { "expression": "", "version": "" } }
说明 其中cpeName为cpe名称,cpeType 为cpe类型。
allFixedVersion为修复当前版本所有漏洞,需要升级到的版本建议。其中version表示版本号,expression表示version包含关系,如果为“>”表示需要升级到在大于version的版本;如果为”>=“表示需要升级到在大于或等于version的版本。
如果version为空,表示目前还没有可用的修复版本号。highCriticalFixedVersion,为修复当前版本中严重、高危漏洞,需要升级到的版本建议。
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。