Freigeben über


Alerts - List

Abrufen von Warnungen für ein Repository

GET https://advsec.dev.azure.com/{organization}/{project}/_apis/alert/repositories/{repository}/alerts?api-version=7.2-preview.1
GET https://advsec.dev.azure.com/{organization}/{project}/_apis/alert/repositories/{repository}/alerts?top={top}&orderBy={orderBy}&criteria.alertIds={criteria.alertIds}&criteria.alertType={criteria.alertType}&criteria.confidenceLevels={criteria.confidenceLevels}&criteria.dependencyName={criteria.dependencyName}&criteria.fromDate={criteria.fromDate}&criteria.keywords={criteria.keywords}&criteria.licenseName={criteria.licenseName}&criteria.modifiedSince={criteria.modifiedSince}&criteria.onlyDefaultBranch={criteria.onlyDefaultBranch}&criteria.phaseId={criteria.phaseId}&criteria.phaseName={criteria.phaseName}&criteria.pipelineName={criteria.pipelineName}&criteria.ref={criteria.ref}&criteria.ruleId={criteria.ruleId}&criteria.ruleName={criteria.ruleName}&criteria.severities={criteria.severities}&criteria.states={criteria.states}&criteria.toDate={criteria.toDate}&criteria.toolName={criteria.toolName}&expand={expand}&continuationToken={continuationToken}&api-version=7.2-preview.1

URI-Parameter

Name In Erforderlich Typ Beschreibung
organization
path True

string

Der Name der Azure DevOps-Organisation.

project
path True

string

Projekt-ID oder Projektname

repository
path True

string

Der Name oder die ID des Repositorys

api-version
query True

string

Version der zu verwendenden API. Dies sollte auf "7.2-preview.1" festgelegt werden, um diese Version der API zu verwenden.

continuationToken
query

string

Wenn mehr Warnungen vorhanden sind, als zurückgegeben werden können, wird ein Fortsetzungstoken im Header "x-ms-continuationtoken" platziert. Verwenden Sie dieses Token hier, um die nächste Seite mit Warnungen zu erhalten.

criteria.alertIds
query

integer[]

Wenn angegeben, werden nur Warnungen mit den angegebenen IDs zurückgegeben.
Andernfalls wird jede Warnung zurückgegeben.

criteria.alertType
query

AlertType

Wenn angegeben, geben Sie nur Warnungen dieses Typs zurück. Andernfalls geben Sie Warnungen aller Typen zurück.

criteria.confidenceLevels
query

string[]

Wenn angegeben, werden nur Warnungen auf diesen Konfidenzniveaus zurückgegeben.
Sowohl "Hoch" als auch "Sonstige" müssen angegeben werden, um Warnungen aller Konfidenzstufen abzurufen.
Andernfalls geben Sie Warnungen mit hoher Vertrauenswürdigkeit zurück.
Gilt nur für geheime Warnungen.

criteria.dependencyName
query

string

Wenn angegeben, werden nur Warnungen für diese Abhängigkeit zurückgegeben.
Andernfalls geben Sie Warnungen für alle Abhängigkeiten zurück.
In einer Sarif-Übermittlung wird eine Abhängigkeit (oder komponente) als Ergebnis angegeben. RelatedLocations[].logicalLocation.
Gilt nicht für geheime Warnungen.

criteria.fromDate
query

string

date-time

Wenn angegeben, werden nach diesem Datum nur Benachrichtigungen zurückgegeben.
Andernfalls werden alle Warnungen zurückgegeben.

criteria.keywords
query

string

Wenn angegeben, geben Sie nur Warnungen zurück, deren Titel diesem Muster entsprechen.

criteria.licenseName
query

string

Wenn angegeben, werden nur Warnungen zurückgegeben, die für Abhängigkeiten mit dieser Lizenz erstellt wurden.
Andernfalls geben Sie Benachrichtigungen für alle Lizenzen zurück.
In einer Sarif-Übermittlung wird die Lizenz für eine Abhängigkeit (oder komponente) als Ergebnis angegeben. RelatedLocations[].logicalLocation.properties.license.
Gilt nicht für geheime Warnungen.

criteria.modifiedSince
query

string

date-time

Wenn angegeben, geben Sie nur Warnungen zurück, die seit diesem Datum geändert wurden.
Andernfalls werden alle Warnungen zurückgegeben.

criteria.onlyDefaultBranch
query

boolean

Wenn "true" oder nicht festgelegt ist, werden nur Warnungen zurückgegeben, die im Standardzweig des Repositorys gefunden wurden.
Wenn für die Standardverzweigung keine Ausführung ausgeführt wurde, wird die letzte Ausführung stattdessen unabhängig von der für diese Ausführung verwendeten Verzweigung verwendet. Wenn "false" zurückgegeben wird, werden Warnungen von allen Verzweigungen zurückgegeben.
Diese Option wird ignoriert, wenn eine Referenz bereitgestellt wird.
Gilt nicht für geheime Warnungen.

criteria.phaseId
query

string

uuid

Wenn pipelineName bereitgestellt wird, werden in dieser Pipelinephase nur Warnungen zurückgegeben, die in dieser Pipelinephase erkannt wurden.
Andernfalls werden warnungen zurückgegeben, die in allen Phasen erkannt wurden.
Gilt nicht für geheime Warnungen.

criteria.phaseName
query

string

Wenn pipelineName bereitgestellt wird, werden in dieser Pipelinephase nur Warnungen zurückgegeben, die in dieser Pipelinephase erkannt wurden.
Andernfalls werden warnungen zurückgegeben, die in allen Phasen erkannt wurden.
Gilt nicht für geheime Warnungen.

criteria.pipelineName
query

string

Wenn angegeben, werden nur warnungen zurückgegeben, die in dieser Pipeline erkannt wurden.
Andernfalls werden warnungen zurückgegeben, die in allen Pipelines erkannt wurden.
Gilt nicht für geheime Warnungen.

criteria.ref
query

string

Falls angegeben, schließen Sie nur Warnungen für diesen Verweis ein.
Wenn nicht angegeben und OnlyDefaultBranch "true" ist, enthalten Sie nur Warnungen, die in der Standardverzweigung oder in der letzten Ausführungsverzweigung gefunden wurden, wenn keine Analysekonfiguration für den Standardverzweigung vorhanden ist.
Schließen Sie andernfalls Warnungen von allen Verzweigungen ein.
Gilt nicht für geheime Warnungen.

criteria.ruleId
query

string

Wenn angegeben, werden nur Warnungen für diese Regel zurückgegeben.
Andernfalls werden Warnungen aller Regeln zurückgegeben.

criteria.ruleName
query

string

Wenn angegeben, werden nur Warnungen für diese Regel zurückgegeben.
Andernfalls werden Warnungen für alle Regeln zurückgegeben.

criteria.severities
query

string[]

Wenn angegeben, werden nur Warnungen zu diesen Schweregraden zurückgegeben.
Andernfalls geben Sie Warnungen in jedem Schweregrad zurück.

criteria.states
query

string[]

Wenn angegeben, werden nur Warnungen in diesen Zuständen zurückgegeben.
Andernfalls geben Sie Warnungen in einem beliebigen Zustand zurück.

criteria.toDate
query

string

date-time

Wenn angegeben, werden nur Benachrichtigungen zurückgegeben, die vor diesem Datum zuletzt angezeigt wurden.
Andernfalls werden alle Warnungen zurückgegeben.

criteria.toolName
query

string

Wenn sie mit toolName bereitgestellt wird, werden nur warnungen zurückgegeben, die von diesem Tool erkannt wurden.
Andernfalls werden warnungen zurückgegeben, die von allen Tools erkannt wurden.

expand
query

AlertListExpandOption

orderBy
query

string

Muss "id" "firstSeen" "lastSeen" "fixedOn" oder "schweregrad" Standardwerte auf "id" sein

top
query

integer

int32

Die maximale Anzahl von Warnungen, die zurückgegeben werden sollen

Antworten

Name Typ Beschreibung
200 OK

Alert[]

Erfolgreicher Vorgang

Sicherheit

oauth2

Typ: oauth2
Ablauf: accessCode
Autorisierungs-URL: https://app.vssps.visualstudio.com/oauth2/authorize&response_type=Assertion
Token-URL: https://app.vssps.visualstudio.com/oauth2/token?client_assertion_type=urn:ietf:params:oauth:client-assertion-type:jwt-bearer&grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer

Bereiche

Name Beschreibung
vso.advsec Gewährt die Möglichkeit, Warnungen, Ergebnisinstanzen, Analyseergebnisinstanzen zu lesen

Definitionen

Name Beschreibung
Alert
AlertListExpandOption
AlertType

Typ der Warnung. Z.B. geheimer Schlüssel, Code usw.

Confidence

Konfidenzniveau der Warnung.

DependencyKind

Abhängigkeitsart dieses logischen Speicherorts.

Dismissal

Informationen über eine Warnungskündigung

DismissalType

Grund für die Kündigung

IdentityRef
License

Lizenzinformationen für Abhängigkeiten

LicenseState

Lizenzstatus

LogicalLocation
PhysicalLocation

Speicherort im Quellcodeverwaltungssystem, an dem das Problem gefunden wurde

ReferenceLinks

Die Klasse, die eine Auflistung von REST-Referenzverknüpfungslinks darstellt.

Region
RelationMetadata

Die Metadaten, die der Warnung zugeordnet werden sollen.

Rule

Die Analyseregel, die die Warnung verursacht hat.

Severity

Schweregrad der Warnung.

State

Dieser Wert wird berechnet und vom Dienst zurückgegeben. Es handelt sich um einen Wert, der auf den Ergebnissen aller Analysekonfigurationen basiert.

Tool

Ein Analysetool, mit dem Sicherheitswarnungen generiert werden können

ValidationFingerprint
VersionControlDetails

Informationen zum Suchen von Dateien in einem Quellcodeverwaltungssystem

Alert

Name Typ Beschreibung
alertId

integer

Bezeichner für die Warnung. Sie ist innerhalb der Azure DevOps-Organisation einzigartig.

alertType

AlertType

Typ der Warnung. Z.B. geheimer Schlüssel, Code usw.

confidence

Confidence

Konfidenzniveau der Warnung.

dismissal

Dismissal

Enthält Informationen zur Kündigung der Warnung, wenn die Warnung geschlossen wurde.

firstSeenDate

string

Dieser Wert wird berechnet und vom Dienst zurückgegeben. Dieser Wert stellt das erste Mal dar, wenn der Dienst dieses Problem in einer Analyseinstanz gemeldet hat.

fixedDate

string

Dieser Wert wird berechnet und vom Dienst zurückgegeben. Wenn das Problem behoben ist, stellt dieser Wert den Zeitpunkt dar, zu dem dieses Problem in einer Analyseinstanz behoben wurde.

gitRef

string

Verweis auf ein Git-Objekt, z. B. Verzweigungsreferenz.

introducedDate

string

Dieser Wert wird berechnet und vom Dienst zurückgegeben. Dieser Wert stellt das erste Mal dar, wenn die Sicherheitsanfälligkeit eingeführt wurde.

lastSeenDate

string

Dieser Wert wird berechnet und vom Dienst zurückgegeben. Dieser Wert stellt das letzte Mal dar, wenn der Dienst dieses Problem in einer Analyseinstanz gemeldet hat.

logicalLocations

LogicalLocation[]

Logische Speicherorte für die Warnung. Dieser Wert wird berechnet und vom Dienst zurückgegeben. Es handelt sich um einen Wert, der auf den Ergebnissen aller Analysekonfigurationen basiert. Ein Beispiel für eine logische Position ist eine Komponente.

physicalLocations

PhysicalLocation[]

Dieser Wert wird berechnet und vom Dienst zurückgegeben. Es handelt sich um einen Wert, der auf den Ergebnissen aller Analysekonfigurationen basiert. Ein Beispiel für einen physischen Speicherort ist ein Dateispeicherort.

relations

RelationMetadata[]

Beziehungen zwischen Warnungen und anderen Artefakten.

repositoryUrl

string

Repository-URL, in der die Warnung erkannt wurde.

severity

Severity

Schweregrad der Warnung.

state

State

Dieser Wert wird berechnet und vom Dienst zurückgegeben. Es handelt sich um einen Wert, der auf den Ergebnissen aller Analysekonfigurationen basiert.

title

string

Der Titel wird nur als Text gerendert und unterstützt keine Markdownformatierung. Es gibt eine maximale Zeichengrenze von 256.

tools

Tool[]

Tools, die dieses Problem erkannt haben.

truncatedSecret

string

Eine abgeschnittene/verschleierte Version des geheimen Schlüssels, die sich auf die Warnung bezieht (falls zutreffend).

validationFingerprints

ValidationFingerprint[]

ValidationFingerprints für die geheime Liveness-Prüfung. Wird nur bei Bedarf in get API zurückgegeben, wobei der Parameter "Expand" auf "ValidationFingerprint" festgelegt ist (nicht in der Listen-API zurückgegeben)

AlertListExpandOption

Name Typ Beschreibung
minimal

string

Gibt eine minimale Darstellung einer Warnung zurück.

none

string

Keine Erweiterungen.

AlertType

Typ der Warnung. Z.B. geheimer Schlüssel, Code usw.

Name Typ Beschreibung
code

string

Der Code enthält eine Schwäche, die durch statische Analysen bestimmt wird.

dependency

string

Der Code verwendet eine Abhängigkeit mit einer bekannten Sicherheitsanfälligkeit.

secret

string

Der Code enthält einen geheimen Schlüssel, der jetzt kompromittiert wurde und widerrufen werden muss.

unknown

string

Der Code weist einen nicht angegebenen Sicherheitsrisikotyp auf.

Confidence

Konfidenzniveau der Warnung.

Name Typ Beschreibung
high

string

Hohes Konfidenzniveau für Warnungen

other

string

Andere Konfidenzstufe für Warnungen

DependencyKind

Abhängigkeitsart dieses logischen Speicherorts.

Name Typ Beschreibung
component

string

Die Komponente, die benachrichtigt wird.

rootDependency

string

Die Stammabhängigkeit hat die Komponente eingeführt, die benachrichtigt wird.

unknown

string

vulnerableDependency

string

Anfällige Abhängigkeit. Dieser Wert wird nicht mehr unterstützt. Verwenden Sie stattdessen Component.

Dismissal

Informationen über eine Warnungskündigung

Name Typ Beschreibung
dismissalId

integer

Eindeutige ID für diese Kündigung

dismissalType

DismissalType

Grund für die Kündigung

message

string

Informationsnachricht, die an die Entlassung angefügt ist

stateChangedBy

string

Identität, die die Warnung geschlossen hat

stateChangedByIdentity

IdentityRef

Identität, die die Warnung geschlossen hat

DismissalType

Grund für die Kündigung

Name Typ Beschreibung
acceptedRisk

string

Kündigung, die angibt, dass der Benutzer ein Risiko für die Warnung akzeptiert

agreedToGuidance

string

Kündigung, die angibt, dass der Benutzer der Lizenzanleitung zustimmt.

falsePositive

string

Entlassung, die darauf hinweist, dass die Warnung falsch positiv ist und wahrscheinlich nicht behoben wird.

fixed

string

Entlassung, die angibt, dass die Warnung behoben wurde

unknown

string

Unbekannter Einstellungstyp

IdentityRef

Name Typ Beschreibung
_links

ReferenceLinks

Dieses Feld enthält null oder interessantere Links zum Thema Diagramm. Diese Links können aufgerufen werden, um zusätzliche Beziehungen oder ausführlichere Informationen zu diesem Diagrammbetreff zu erhalten.

descriptor

string

Der Deskriptor ist die primäre Möglichkeit, auf den Diagrammbetreff zu verweisen, während das System ausgeführt wird. In diesem Feld wird dasselbe Diagrammthema sowohl in Firmen als auch in Organisationen eindeutig identifiziert.

directoryAlias

string

Veraltet – Kann abgerufen werden, indem der Graph-Benutzer abgefragt wird, auf den im "Self"-Eintrag des IdentityRef -Wörterbuchs "_links" verwiesen wird

displayName

string

Dies ist der nicht eindeutige Anzeigename des Diagrammbetreffs. Um dieses Feld zu ändern, müssen Sie den Wert im Quellanbieter ändern.

id

string

imageUrl

string

Veraltet – Verfügbar im "Avatar"-Eintrag des IdentityRef-Wörterbuchs "_links"

inactive

boolean

Veraltet – Kann abgerufen werden, indem der Graph-Mitgliedschaftsstatus abgefragt wird, auf den im Eintrag "membershipState" des GraphUser-Wörterbuchs "_links" verwiesen wird.

isAadIdentity

boolean

Veraltet – Kann vom Betrefftyp des Deskriptors abgeleitet werden (Descriptor.IsAadUserType/Descriptor.IsAadGroupType)

isContainer

boolean

Veraltet – Kann vom Betrefftyp des Deskriptors abgeleitet werden (Descriptor.IsGroupType)

isDeletedInOrigin

boolean

profileUrl

string

Veraltet – nicht in den meisten bereits vorhandenen Implementierungen von ToIdentityRef verwendet

uniqueName

string

Veraltet – Verwenden Sie stattdessen "Domain+PrincipalName".

url

string

Diese URL ist die vollständige Route zur Quellressource dieses Graph-Betreffs.

License

Lizenzinformationen für Abhängigkeiten

Name Typ Beschreibung
name

string

Lizenzname

state

LicenseState

Lizenzstatus

url

string

URL für Lizenzinformationen

LicenseState

Lizenzstatus

Name Typ Beschreibung
harvested

string

Informationen zur Lizenz wurden von ClearlyDefined gesammelt.

notHarvested

string

Informationen zur Lizenz wurden von ClearlyDefined nicht gesammelt.

unknown

string

Informationen zur Lizenz wurden von ClearlyDefined nicht gesammelt.

LogicalLocation

Name Typ Beschreibung
fullyQualifiedName

string

kind

DependencyKind

Abhängigkeitsart dieses logischen Speicherorts.

license

License

Lizenzinformationen für Abhängigkeit nur anwendbar, wenn Art "Component" ist und der AlertType der Warnung mit diesem Speicherort "License" ist

PhysicalLocation

Speicherort im Quellcodeverwaltungssystem, an dem das Problem gefunden wurde

Name Typ Beschreibung
filePath

string

Pfad der Datei, in der das Problem gefunden wurde

region

Region

Details zum Speicherort, an dem das Problem gefunden wurde, einschließlich eines Codeausschnitts

versionControl

VersionControlDetails

Systemspezifische Informationen zur Quellcodeverwaltung über den Speicherort

Die Klasse, die eine Auflistung von REST-Referenzverknüpfungslinks darstellt.

Name Typ Beschreibung
links

object

Die schreibgeschützte Ansicht der Links. Da Referenzlinks schreibgeschützt sind, möchten wir sie nur als schreibgeschützt verfügbar machen.

Region

Name Typ Beschreibung
columnEnd

integer

Die Spalte, in der der Codeausschnitt endet

columnStart

integer

Die Spalte, in der der Codeausschnitt gestartet wird

lineEnd

integer

Die Zeilennummer, in der der Codeausschnitt endet

lineStart

integer

Die Zeilennummer, an der der Codeausschnitt beginnt

RelationMetadata

Die Metadaten, die der Warnung zugeordnet werden sollen.

Name Typ Beschreibung
attributes

object

Alle zusätzlichen Attribute der Metadaten.

rel

string

Der Typ der Metadaten.

url

string

Die URL der Metadaten.

Rule

Die Analyseregel, die die Warnung verursacht hat.

Name Typ Beschreibung
additionalProperties

object

Zusätzliche Eigenschaften dieser Regel, die vom Regeltyp abhängig sind. Abhängigkeitsregeln können z. B. die CVE-ID enthalten, wenn sie verfügbar ist.

description

string

Beschreibung der Erkennung dieser Regel

friendlyName

string

Nur-Text-Regelbezeichner

helpMessage

string

Weitere Informationen zu dieser Regel

opaqueId

string

Toolspezifischer Regelbezeichner

resources

string

Markdown-formatierte Liste der Ressourcen, um mehr über die Regel zu erfahren. In einigen Fällen wird stattdessen RuleInfo.AdditionalProperties.advisoryUrls verwendet.

tags

string[]

Klassifizierungstags für diese Regel

Severity

Schweregrad der Warnung.

Name Typ Beschreibung
critical

string

error

string

high

string

low

string

medium

string

note

string

undefined

string

warning

string

State

Dieser Wert wird berechnet und vom Dienst zurückgegeben. Es handelt sich um einen Wert, der auf den Ergebnissen aller Analysekonfigurationen basiert.

Name Typ Beschreibung
active

string

Warnung wurde im Code erkannt

autoDismissed

string

Das Tool hat festgestellt, dass das Problem kein Risiko mehr ist.

dismissed

string

Warnung wurde von einem Benutzer geschlossen.

fixed

string

Das Problem wird im Code nicht mehr erkannt.

unknown

string

Warnung befindet sich in einem unbestimmten Zustand

Tool

Ein Analysetool, mit dem Sicherheitswarnungen generiert werden können

Name Typ Beschreibung
name

string

Name des Tools

rules

Rule[]

Die Regeln, die das Tool definiert

ValidationFingerprint

Name Typ Beschreibung
validationFingerprintHash

string

validationFingerprintJson

string

VersionControlDetails

Informationen zum Suchen von Dateien in einem Quellcodeverwaltungssystem

Name Typ Beschreibung
commitHash

string

itemUrl

string