SARIF (Static Analysis Results Interchange Format)
SARIF ist ein OASIS-Standard für den Austausch von Ergebnissen statischer Code-Analysen. Als Attestierung eingebettet, schafft SARIF einen kryptografisch gesicherten Nachweis darüber, welche Sicherheitsscans durchgeführt wurden und was sie ergeben haben.
Was wird nachgewiesen?
-
Sicherheitsanalyse: Dokumentation aller durchgeführten Sicherheitsscans (SAST — Static Application Security Testing) durch Tools wie Semgrep, CodeQL oder Trivy.
-
Code-Qualität: Nachweis, dass der Code durch automatisierte Analysetools auf bekannte Schwachstellen, Code-Smells und Anti-Patterns geprüft wurde.
-
Standardisiertes Format: SARIF ermöglicht es, Ergebnisse verschiedener Analyse-Tools in einem einheitlichen Format zu speichern, zu vergleichen und weiterzuverarbeiten — unabhängig vom eingesetzten Tool.
-
Shift-Left Security: Durch die Integration von Sicherheitsanalysen direkt in den Build-Prozess werden Schwachstellen frühzeitig erkannt, bevor sie in Produktion gelangen.
Warum als Attestierung?
Ohne kryptografische Signierung ist ein SARIF-Bericht nur eine Datei — er könnte nachträglich verändert worden sein, oder er wurde gar nicht erst aus dem tatsächlichen Build erzeugt. Als signierte Attestierung am Container-Image ist der Bericht unveränderlich mit dem exakten Image-Digest verknüpft und kann unabhängig verifiziert werden.
Dies macht SARIF-Attestierungen zu einem wesentlichen Bestandteil einer vollständigen Software-Lieferkette: Sie zeigen nicht nur, dass der Build-Prozess sicher war (Build Provenance), sondern auch, dass der Code selbst durch moderne Sicherheitstools validiert wurde.
Einordnung
SARIF ist kein Bestandteil des SLSA-Frameworks. SLSA definiert Anforderungen an Build-Prozesse (Build Track) und Quellcode-Verwaltung (Source Track) — nicht an die Ergebnisse statischer Analysen. SARIF-Attestierungen sind eine eigenständige, ergänzende Sicherheitsmaßnahme im openCode Badge-System.
Sie ergänzen die Build- und Source Provenance Attestierungen zu einem vollständigeren Bild der Lieferkette: Während Provenance Nachweise belegen woher der Code stammt und wie er gebaut wurde, belegen SARIF-Attestierungen welche Sicherheitsprüfungen auf dem Code durchgeführt wurden.