Alerts - List
Ottenere avvisi per un repository
GET https://advsec.dev.azure.com/{organization}/{project}/_apis/alert/repositories/{repository}/alerts?api-version=7.2-preview.1GET https://advsec.dev.azure.com/{organization}/{project}/_apis/alert/repositories/{repository}/alerts?top={top}&orderBy={orderBy}&criteria.alertIds={criteria.alertIds}&criteria.alertType={criteria.alertType}&criteria.confidenceLevels={criteria.confidenceLevels}&criteria.dependencyName={criteria.dependencyName}&criteria.fromDate={criteria.fromDate}&criteria.keywords={criteria.keywords}&criteria.licenseName={criteria.licenseName}&criteria.modifiedSince={criteria.modifiedSince}&criteria.onlyDefaultBranch={criteria.onlyDefaultBranch}&criteria.phaseId={criteria.phaseId}&criteria.phaseName={criteria.phaseName}&criteria.pipelineName={criteria.pipelineName}&criteria.ref={criteria.ref}&criteria.ruleId={criteria.ruleId}&criteria.ruleName={criteria.ruleName}&criteria.severities={criteria.severities}&criteria.states={criteria.states}&criteria.toDate={criteria.toDate}&criteria.toolName={criteria.toolName}&expand={expand}&continuationToken={continuationToken}&api-version=7.2-preview.1Parametri dell'URI
| Nome | In | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
organization
|
path | True |
string |
Nome dell'organizzazione di Azure DevOps. |
|
project
|
path | True |
string |
ID progetto o nome progetto |
|
repository
|
path | True |
string |
Nome o ID del repository |
|
api-version
|
query | True |
string |
Versione dell'API da usare. Deve essere impostato su '7.2-preview.1' per usare questa versione dell'API. |
|
continuation
|
query |
string |
Se sono presenti più avvisi che possono essere restituiti, un token di continuazione viene inserito nell'intestazione "x-ms-continuationtoken". Usare questo token qui per ottenere la pagina successiva degli avvisi |
|
|
criteria.
|
query |
integer[] |
Se specificato, restituisce solo avvisi con gli ID specificati. |
|
|
criteria.
|
query |
Se specificato, restituisce solo avvisi di questo tipo. In caso contrario, restituire avvisi di tutti i tipi. |
||
|
criteria.
|
query |
string[] |
Se specificato, restituisce solo avvisi a questi livelli di attendibilità. |
|
|
criteria.
|
query |
string |
Se specificato, vengono restituiti solo gli avvisi per questa dipendenza. |
|
|
criteria.
|
query |
string date-time |
Se specificato, restituisce solo gli avvisi visualizzati dopo questa data. |
|
|
criteria.
|
query |
string |
Se specificato, restituisce solo avvisi i cui titoli corrispondono a questo modello. |
|
|
criteria.
|
query |
string |
Se specificato, vengono restituiti solo gli avvisi creati per la dipendenza con questa licenza. |
|
|
criteria.
|
query |
string date-time |
Se specificato, restituisce solo avvisi modificati dopo questa data. |
|
|
criteria.
|
query |
boolean |
Se true o non è impostato, restituisce solo avvisi trovati nel ramo predefinito del repository. |
|
|
criteria.
|
query |
string uuid |
Se fornito con pipelineName, restituisce solo gli avvisi rilevati in questa fase della pipeline |
|
|
criteria.
|
query |
string |
Se fornito con pipelineName, restituisce solo gli avvisi rilevati in questa fase della pipeline |
|
|
criteria.
|
query |
string |
Se specificato, restituisce solo gli avvisi rilevati in questa pipeline. |
|
|
criteria.
|
query |
string |
Se specificato, includere solo avvisi per questo riferimento. |
|
|
criteria.
|
query |
string |
Se specificato, restituisce solo avvisi per questa regola. |
|
|
criteria.
|
query |
string |
Se specificato, restituisce solo avvisi per questa regola. |
|
|
criteria.
|
query |
string[] |
Se specificato, restituisce solo avvisi con questi livelli di gravità. |
|
|
criteria.
|
query |
string[] |
Se specificato, restituisce solo avvisi in questi stati. |
|
|
criteria.
|
query |
string date-time |
Se specificato, restituisce solo gli avvisi visualizzati prima di questa data. |
|
|
criteria.
|
query |
string |
Se fornito con toolName, restituisce solo gli avvisi rilevati da questo strumento. |
|
|
expand
|
query | |||
|
order
|
query |
string |
Deve essere "id" "firstSeen" "lastSeen" "fixedOn" o "severity" Il valore predefinito è "id" |
|
|
top
|
query |
integer int32 |
Numero massimo di avvisi da restituire |
Risposte
| Nome | Tipo | Descrizione |
|---|---|---|
| 200 OK |
Alert[] |
operazione riuscita |
Sicurezza
oauth2
Tipo:
oauth2
Flow:
accessCode
URL di autorizzazione:
https://app.vssps.visualstudio.com/oauth2/authorize&response_type=Assertion
URL token:
https://app.vssps.visualstudio.com/oauth2/token?client_assertion_type=urn:ietf:params:oauth:client-assertion-type:jwt-bearer&grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer
Ambiti
| Nome | Descrizione |
|---|---|
| vso.advsec | Concede la possibilità di leggere avvisi, istanze dei risultati, istanze dei risultati dell'analisi |
Definizioni
| Nome | Descrizione |
|---|---|
| Alert | |
|
Alert |
|
|
Alert |
Tipo di avviso. Ad esempio segreto, codice e così via. |
|
Alert |
Dati di validità per un avviso che farà parte delle API degli avvisi e dell'interfaccia utente. |
|
Alert |
|
| Confidence |
Livello di confidenza dell'avviso. |
|
Dependency |
Tipo di dipendenza di questa posizione logica. |
| Dismissal |
Informazioni sulla chiusura di un avviso |
|
Dismissal |
Motivo del licenziamento |
|
Identity |
|
| License |
Informazioni sulla licenza per le dipendenze |
|
License |
Stato della licenza |
|
Logical |
|
|
Physical |
Posizione nel sistema di controllo del codice sorgente in cui è stato rilevato il problema |
|
Reference |
Classe per rappresentare una raccolta di collegamenti di riferimento REST. |
| Region | |
|
Relation |
Metadati da associare all'avviso. |
| Rule |
Regola di analisi che ha causato l'avviso. |
| Severity |
Gravità dell'avviso. |
| State |
Questo valore viene calcolato e restituito dal servizio. Si tratta di un valore basato sui risultati di tutte le configurazioni di analisi. |
| Tool |
Strumento di analisi in grado di generare avvisi di sicurezza |
|
Validation |
|
|
Version |
Informazioni per l'individuazione dei file in un sistema di controllo del codice sorgente |
Alert
| Nome | Tipo | Descrizione |
|---|---|---|
| additionalProperties |
object |
Proprietà aggiuntive dell'avviso. |
| alertId |
integer |
Identificatore dell'avviso. È univoco all'interno dell'organizzazione di Azure DevOps. |
| alertType |
Tipo di avviso. Ad esempio segreto, codice e così via. |
|
| confidence |
Livello di confidenza dell'avviso. |
|
| dismissal |
Contiene informazioni per la chiusura dell'avviso se l'avviso è stato ignorato. |
|
| firstSeenDate |
string |
Questo valore viene calcolato e restituito dal servizio. Questo valore rappresenta la prima volta che il servizio ha rilevato questo problema in un'istanza di analisi. |
| fixedDate |
string |
Questo valore viene calcolato e restituito dal servizio. Se il problema è stato risolto, questo valore rappresenta il momento in cui il servizio ha rilevato questo problema risolto in un'istanza di analisi. |
| gitRef |
string |
Riferimento a un oggetto Git, ad esempio riferimento al ramo. |
| introducedDate |
string |
Questo valore viene calcolato e restituito dal servizio. Questo valore rappresenta la prima volta che è stata introdotta la vulnerabilità. |
| lastSeenDate |
string |
Questo valore viene calcolato e restituito dal servizio. Questo valore rappresenta l'ultima volta che il servizio ha rilevato questo problema in un'istanza di analisi. |
| logicalLocations |
Posizioni logiche per l'avviso. Questo valore viene calcolato e restituito dal servizio. Si tratta di un valore basato sui risultati di tutte le configurazioni di analisi. Un esempio di posizione logica è un componente. |
|
| physicalLocations |
Questo valore viene calcolato e restituito dal servizio. Si tratta di un valore basato sui risultati di tutte le configurazioni di analisi. Un esempio di percorso fisico è un percorso di file. |
|
| relations |
Relazioni tra avvisi e altri artefatti. |
|
| repositoryUrl |
string |
URL del repository in cui è stato rilevato l'avviso. |
| severity |
Gravità dell'avviso. |
|
| state |
Questo valore viene calcolato e restituito dal servizio. Si tratta di un valore basato sui risultati di tutte le configurazioni di analisi. |
|
| title |
string |
Il rendering del titolo verrà eseguito solo come testo e non supporta la formattazione markdown. È previsto un limite massimo di caratteri pari a 256. |
| tools |
Tool[] |
Strumenti che hanno rilevato questo problema. |
| truncatedSecret |
string |
Versione troncata/offuscata del segreto relativo all'avviso (se applicabile). |
| validationFingerprints |
ValidationFingerprints per il controllo dell'attività segreta. Restituito solo su richiesta in Get API with Expand parameter set to be ValidationFingerprint (not returned in List API) |
|
| validityDetails |
Dettagli di validità di un avviso. Attualmente, questo è applicabile solo agli avvisi segreti. In caso di avvisi segreti, lo stato di validità e l'ora vengono calcolati esaminando i risultati della dinamica per le impronte digitali di convalida associate a un avviso. |
AlertListExpandOption
| Nome | Tipo | Descrizione |
|---|---|---|
| minimal |
string |
Restituisce una rappresentazione minima di un avviso. |
| none |
string |
Nessuna espansione. |
AlertType
Tipo di avviso. Ad esempio segreto, codice e così via.
| Nome | Tipo | Descrizione |
|---|---|---|
| code |
string |
Il codice contiene una debolezza determinata dall'analisi statica. |
| dependency |
string |
Il codice usa una dipendenza con una vulnerabilità nota. |
| secret |
string |
Il codice contiene un segreto che è stato compromesso e deve essere revocato. |
| unknown |
string |
Il codice presenta un tipo di vulnerabilità non specificato |
AlertValidityInfo
Dati di validità per un avviso che farà parte delle API degli avvisi e dell'interfaccia utente.
| Nome | Tipo | Descrizione |
|---|---|---|
| validityLastCheckedDate |
string |
|
| validityStatus |
AlertValidityStatus
| Nome | Tipo | Descrizione |
|---|---|---|
| active |
string |
|
| inactive |
string |
|
| unknown |
string |
Confidence
Livello di confidenza dell'avviso.
| Nome | Tipo | Descrizione |
|---|---|---|
| high |
string |
Livello di attendibilità elevato per l'avviso |
| other |
string |
Altro livello di attendibilità per l'avviso |
DependencyKind
Tipo di dipendenza di questa posizione logica.
| Nome | Tipo | Descrizione |
|---|---|---|
| component |
string |
Componente che viene avvisato. |
| rootDependency |
string |
La dipendenza radice ha introdotto il componente che viene avvisato. |
| unknown |
string |
|
| vulnerableDependency |
string |
Dipendenza vulnerabile. Deprecazione di questo valore. Usare invece Componente. |
Dismissal
Informazioni sulla chiusura di un avviso
| Nome | Tipo | Descrizione |
|---|---|---|
| dismissalId |
integer |
ID univoco per questa chiusura |
| dismissalType |
Motivo del licenziamento |
|
| message |
string |
Messaggio informativo associato alla chiusura |
| stateChangedBy |
string |
Identità che ha ignorato l'avviso |
| stateChangedByIdentity |
Identità che ha ignorato l'avviso |
DismissalType
Motivo del licenziamento
| Nome | Tipo | Descrizione |
|---|---|---|
| acceptedRisk |
string |
Ignora che indica che l'utente accetta un rischio per l'avviso |
| agreedToGuidance |
string |
Ignora che indica che l'utente accetta di seguire le indicazioni sulle licenze. |
| falsePositive |
string |
Ignora che indica che l'avviso è un falso positivo e probabilmente non verrà corretto. |
| fixed |
string |
Chiusura che indica che l'avviso è stato risolto |
| unknown |
string |
Tipo ignorato sconosciuto |
IdentityRef
| Nome | Tipo | Descrizione |
|---|---|---|
| _links |
Questo campo contiene zero o più collegamenti interessanti sull'oggetto grafico. Questi collegamenti possono essere richiamati per ottenere relazioni aggiuntive o informazioni più dettagliate sull'oggetto grafico. |
|
| descriptor |
string |
Il descrittore è il modo principale per fare riferimento all'oggetto del grafo mentre il sistema è in esecuzione. Questo campo identificherà in modo univoco lo stesso soggetto del grafico in account e organizzazioni. |
| directoryAlias |
string |
Deprecato: può essere recuperato eseguendo una query sull'utente graph a cui si fa riferimento nella voce "self" del dizionario IdentityRef "_links" |
| displayName |
string |
Si tratta del nome visualizzato non univoco dell'oggetto del grafico. Per modificare questo campo, è necessario modificarne il valore nel provider di origine. |
| id |
string |
|
| imageUrl |
string |
Deprecato : disponibile nella voce "avatar" del dizionario IdentityRef "_links" |
| inactive |
boolean |
Deprecato: può essere recuperato eseguendo una query sullo stato di appartenenza graph a cui si fa riferimento nella voce "membershipState" del dizionario "_links" GraphUser |
| isAadIdentity |
boolean |
Deprecato: può essere dedotto dal tipo di soggetto del descrittore (Descriptor.IsAadUserType/Descriptor.IsAadGroupType) |
| isContainer |
boolean |
Deprecato: può essere dedotto dal tipo di soggetto del descrittore (Descriptor.IsGroupType) |
| isDeletedInOrigin |
boolean |
|
| profileUrl |
string |
Deprecato: non in uso nella maggior parte delle implementazioni preesistenti di ToIdentityRef |
| uniqueName |
string |
Deprecato: usare invece Domain+PrincipalName |
| url |
string |
Questo URL è la route completa alla risorsa di origine di questo oggetto grafico. |
License
Informazioni sulla licenza per le dipendenze
| Nome | Tipo | Descrizione |
|---|---|---|
| name |
string |
Nome licenza |
| state |
Stato della licenza |
|
| url |
string |
URL per le informazioni sulla licenza |
LicenseState
Stato della licenza
| Nome | Tipo | Descrizione |
|---|---|---|
| harvested |
string |
Le informazioni della licenza sono state raccolte da ClearlyDefined |
| notHarvested |
string |
Le informazioni della licenza non sono state raccolte da ClearlyDefined |
| unknown |
string |
Le informazioni della licenza non sono state raccolte da ClearlyDefined |
LogicalLocation
| Nome | Tipo | Descrizione |
|---|---|---|
| fullyQualifiedName |
string |
|
| kind |
Tipo di dipendenza di questa posizione logica. |
|
| license |
Informazioni sulla licenza per Dependency Only applicabili quando Kind è "Component" e alertType dell'avviso con questo percorso è License |
PhysicalLocation
Posizione nel sistema di controllo del codice sorgente in cui è stato rilevato il problema
| Nome | Tipo | Descrizione |
|---|---|---|
| filePath |
string |
Percorso del file in cui è stato trovato il problema |
| region |
Informazioni dettagliate sulla posizione in cui è stato trovato il problema, incluso un frammento di codice |
|
| versionControl |
Informazioni specifiche del sistema di controllo del codice sorgente sulla posizione |
ReferenceLinks
Classe per rappresentare una raccolta di collegamenti di riferimento REST.
| Nome | Tipo | Descrizione |
|---|---|---|
| links |
object |
Visualizzazione di sola lettura dei collegamenti. Poiché i collegamenti di riferimento sono di sola lettura, è consigliabile esporli solo come di sola lettura. |
Region
| Nome | Tipo | Descrizione |
|---|---|---|
| columnEnd |
integer |
Colonna in cui termina il frammento di codice |
| columnStart |
integer |
Colonna in cui viene avviato il frammento di codice |
| lineEnd |
integer |
Numero di riga in cui termina il frammento di codice |
| lineStart |
integer |
Numero di riga in cui viene avviato il frammento di codice |
RelationMetadata
Metadati da associare all'avviso.
| Nome | Tipo | Descrizione |
|---|---|---|
| attributes |
object |
Eventuali attributi aggiuntivi dei metadati. |
| rel |
string |
Tipo dei metadati. |
| url |
string |
URL dei metadati. |
Rule
Regola di analisi che ha causato l'avviso.
| Nome | Tipo | Descrizione |
|---|---|---|
| additionalProperties |
object |
Proprietà aggiuntive di questa regola dipendenti dal tipo di regola. Ad esempio, le regole di dipendenza possono includere l'ID CVE, se disponibile. |
| description |
string |
Descrizione di ciò che questa regola rileva |
| friendlyName |
string |
Identificatore di regola testo normale |
| helpMessage |
string |
Informazioni aggiuntive su questa regola |
| opaqueId |
string |
Identificatore di regola specifico dello strumento |
| resources |
string |
Elenco di risorse formattato markdown per altre informazioni sulla regola. In alcuni casi, viene invece usato RuleInfo.AdditionalProperties.advisoryUrls. |
| tags |
string[] |
Tag di classificazione per questa regola |
Severity
Gravità dell'avviso.
| Nome | Tipo | Descrizione |
|---|---|---|
| critical |
string |
|
| error |
string |
|
| high |
string |
|
| low |
string |
|
| medium |
string |
|
| note |
string |
|
| undefined |
string |
|
| warning |
string |
State
Questo valore viene calcolato e restituito dal servizio. Si tratta di un valore basato sui risultati di tutte le configurazioni di analisi.
| Nome | Tipo | Descrizione |
|---|---|---|
| active |
string |
L'avviso è stato rilevato nel codice |
| autoDismissed |
string |
Lo strumento ha determinato che il problema non è più un rischio |
| dismissed |
string |
Avviso ignorato da un utente |
| fixed |
string |
Il problema non viene più rilevato nel codice |
| unknown |
string |
L'avviso è in uno stato indeterminato |
Tool
Strumento di analisi in grado di generare avvisi di sicurezza
| Nome | Tipo | Descrizione |
|---|---|---|
| name |
string |
Nome dello strumento |
| rules |
Rule[] |
Regole definite dallo strumento |
ValidationFingerprint
| Nome | Tipo | Descrizione |
|---|---|---|
| validationFingerprintHash |
string |
|
| validationFingerprintJson |
string |
|
| validityLastUpdatedDate |
string |
|
| validityResult |
string |
VersionControlDetails
Informazioni per l'individuazione dei file in un sistema di controllo del codice sorgente
| Nome | Tipo | Descrizione |
|---|---|---|
| commitHash |
string |
|
| itemUrl |
string |