Feature/CWE recommendations related

[iTzGooDLife]

Descripción

Se agrega el lógica y los cambios necesario para la recomendación de CWE. Ahora se hacen 3 (más probables) y sus ancestros (padre y abuelo) en caso de existir. Se agrega la funcionalidad en añadir y editar vulnerabilidades. Además, se utiliza el modelo de recomendación mejorado. Made by @Icksir

Importante: Puede que se repitan recomendaciones entre un ancestro y las otras recomendaciones, se puede modificar para quitar ese caso, pero por temas de tiempo considero que debería quedar como issue.

Motivación y Contexto

Este cambio es necesario para la funcionalidad de recomendación, ya que antes se limitaba a una sola recomendación.

¿Cómo ha sido probado?

-) Se va la vista de agregar o editar una vulnerabilidad, se introduce la descripción de una vulnerabilidad y se apreta el botón de recomendar CWE.
-) Una vez se tiene la recomendacióno, se cambia de idioma en el dropdown que se encuentra arriba a la derecha y se ve que se vuelve al estado original.
-) Se seleccionan recomendaciones, se apreta el botón de añadir opciones y confirmar que se agregaron los CWEs al inicio del TextArea y desaparece la recomendación.

Capturas de pantalla (si es apropiado):

Tipos de cambios

• Bugfix (cambio que no interrumpe el funcionamiento y que soluciona un problema)
• New feature (cambio que no interrumpe el funcionamiento y que añade funcionalidad)
• Breaking change (corrección o funcionalidad que podría causar que la funcionalidad existente cambie)

Lista de verificación:

• Mi código sigue el estilo de código de este proyecto.
• Mi cambio requiere una modificación en la documentación.
• He actualizado la documentación en consecuencia.
• Requiere nuevos tests.

Summary by CodeRabbit

• Nuevas Funciones

  • Se ha introducido un nuevo archivo JSON que representa una estructura jerárquica de entradas de CWE.
  • Se han agregado nuevas cadenas de localización para mejorar la interfaz de usuario relacionada con auditorías y vulnerabilidades.
  • Se ha mejorado el componente AddVulnerability para gestionar recomendaciones de CWE.
  • Se ha actualizado el componente EditVulnerability para manejar el estado de carga y recomendaciones de CWE.
  • Se ha añadido un nuevo componente MultiCheckboxButton para seleccionar múltiples entradas de CWE.

• Mejoras

  • Se ha modificado la lógica de búsqueda y manejo de datos de CWE para mayor flexibilidad y eficiencia.
  • Se ha cambiado la estructura del tipo CWEData para incluir un campo de prioridad en los resultados.

[coderabbitai]

📝 Walkthrough

📝 Walkthrough

Walkthrough

Se han realizado cambios significativos en la aplicación FastAPI y en varios componentes del frontend. El archivo cwe_api/main.py ahora utiliza un módulo inferencer en lugar de classifier para la clasificación de vulnerabilidades. Se ha añadido un nuevo archivo JSON para representar la jerarquía de las entradas de CWE. Además, se han actualizado varios componentes de React en el frontend para mejorar la gestión del estado y la interfaz de usuario, incluyendo la introducción de nuevos tipos y la modificación de la lógica de renderizado.

Changes

File	Change Summary
cwe_api/main.py	Se reemplazó el pipeline classifier con inferencer. Se añadió la importación de inferencer.
frontend/src/files/parent_to_child.json	Se añadió un nuevo archivo JSON que representa la jerarquía de entradas de CWE.
frontend/src/i18n/en-US/index.ts	Se añadieron nuevas cadenas de localización en las secciones btn y audit.
frontend/src/routes/vulnerabilities/add/addVulnerability.tsx	Se mejoró el componente AddVulnerability con nuevos tipos y variables de estado. Se actualizó la lógica de manejo de recomendaciones de CWE.
frontend/src/routes/vulnerabilities/components/MultiCheckboxButton.tsx	Se introdujo un nuevo componente para gestionar una interfaz de múltiples checkboxes para CWE.
frontend/src/routes/vulnerabilities/edit/editVulnerability.tsx	Se actualizó el componente EditVulnerability con nuevos tipos y lógica de renderizado.
frontend/src/routes/vulnerabilities/hooks/useVulnState.ts	Se modificó el hook useVulnState para incluir un nuevo tipo y actualizar la gestión del estado.
frontend/src/services/getCWEName.ts	Se actualizaron tipos y la función GetCWENameByLanguage para mejorar la búsqueda de entradas de CWE.
frontend/src/services/vulnerabilities.ts	Se modificó la definición del tipo CWEData para permitir una estructura más flexible en el campo result.

Possibly related PRs

• Feature/add CWE endpoint backend #104: Los cambios en este PR introducen un nuevo endpoint /classify en el backend que se relaciona con las modificaciones realizadas en cwe_api/main.py, donde el endpoint classify_vulnerability ahora utiliza el módulo inferencer en lugar de classifier.

Suggested reviewers

• caverav
• Sealra
• massi-ponce

---

Thank you for using CodeRabbit. We offer it for free to the OSS community and would appreciate your support in helping us grow. If you find it useful, would you consider giving us a shout-out on your favorite social media?

❤️ Share

• X
• Mastodon
• Reddit
• LinkedIn

🪧 Tips

Chat

There are 3 ways to chat with CodeRabbit:

‼️ IMPORTANT
Auto-reply has been disabled for this repository in the CodeRabbit settings. The CodeRabbit bot will not respond to your replies unless it is explicitly tagged.

• Files and specific lines of code (under the "Files changed" tab): Tag @coderabbitai in a new review comment at the desired location with your query. Examples:
  • @coderabbitai generate unit testing code for this file.
  • @coderabbitai modularize this function.
• PR comments: Tag @coderabbitai in a new PR comment to ask questions about the PR branch. For the best results, please provide a very specific query, as very limited context is provided in this mode. Examples:
  • @coderabbitai gather interesting stats about this repository and render them as a table. Additionally, render a pie chart showing the language distribution in the codebase.
  • @coderabbitai read src/utils.ts and generate unit testing code.
  • @coderabbitai read the files in the src/scheduler package and generate a class diagram using mermaid and a README in the markdown format.
  • @coderabbitai help me debug CodeRabbit configuration file.

Note: Be mindful of the bot's finite context window. It's strongly recommended to break down tasks such as reading entire modules into smaller chunks. For a focused discussion, use review comments to chat about specific files and their changes, instead of using the PR comments.

CodeRabbit Commands (Invoked using PR comments)

• @coderabbitai pause to pause the reviews on a PR.
• @coderabbitai resume to resume the paused reviews.
• @coderabbitai review to trigger an incremental review. This is useful when automatic reviews are disabled for the repository.
• @coderabbitai full review to do a full review from scratch and review all the files again.
• @coderabbitai summary to regenerate the summary of the PR.
• @coderabbitai resolve resolve all the CodeRabbit review comments.
• @coderabbitai configuration to show the current CodeRabbit configuration for the repository.
• @coderabbitai help to get help.

Other keywords and placeholders

• Add @coderabbitai ignore anywhere in the PR description to prevent this PR from being reviewed.
• Add @coderabbitai summary to generate the high-level summary at a specific location in the PR description.
• Add @coderabbitai anywhere in the PR title to generate the title automatically.

CodeRabbit Configuration File (.coderabbit.yaml)

• You can programmatically configure CodeRabbit by adding a .coderabbit.yaml file to the root of your repository.
• Please see the configuration documentation for more information.
• If your editor has YAML language server enabled, you can add the path at the top of this file to enable auto-completion and validation: # yaml-language-server: $schema=https://coderabbit.ai/integrations/schema.v2.json

Documentation and Community

• Visit our Documentation for detailed information on how to use CodeRabbit.
• Join our Discord Community to get help, request features, and share feedback.
• Follow us on X/Twitter for updates and announcements.

[coderabbitai]

Actionable comments posted: 25

🧹 Outside diff range comments (1)

cwe_api/main.py (1)

Line range hint 1-45: Resumen de cambios y recomendaciones finales

Los cambios principales implican la sustitución de classifier por inferencer. Aunque esto parece ser parte de una refactorización más amplia, hay varias áreas que requieren atención:

1. Falta información sobre el módulo inferencer.
2. No hay manejo de errores en las llamadas a inferencer.
3. La documentación es insuficiente.
4. Se utiliza un ejemplo hardcodeado en la función read_root.

Recomendaciones:

1. Proporcione documentación detallada sobre el módulo inferencer.
2. Implemente un manejo de errores robusto en todas las llamadas a inferencer.
3. Añada docstrings y comentarios explicativos donde sea necesario.
4. Considere mover el ejemplo a un archivo de configuración.

Estas mejoras aumentarán significativamente la mantenibilidad y fiabilidad del código.

🧰 Tools

🪛 Ruff

22-22: Missing return type annotation for public function classify_vulnerability

(ANN201)

📜 Review details

Configuration used: CodeRabbit UI
Review profile: ASSERTIVE

📥 Commits

Files that changed from the base of the PR and between 8551af3 and 21133ab.

📒 Files selected for processing (9)

• cwe_api/main.py (3 hunks)
• frontend/src/files/parent_to_child.json (1 hunks)
• frontend/src/i18n/en-US/index.ts (2 hunks)
• frontend/src/routes/vulnerabilities/add/addVulnerability.tsx (6 hunks)
• frontend/src/routes/vulnerabilities/components/MultiCheckboxButton.tsx (1 hunks)
• frontend/src/routes/vulnerabilities/edit/editVulnerability.tsx (6 hunks)
• frontend/src/routes/vulnerabilities/hooks/useVulnState.ts (3 hunks)
• frontend/src/services/getCWEName.ts (1 hunks)
• frontend/src/services/vulnerabilities.ts (1 hunks)

🧰 Additional context used

🔇 Additional comments (8)

cwe_api/main.py (1)

6-6: Se requiere más información sobre el módulo inferencer.

La importación del módulo inferencer es nueva y no está claro de dónde proviene este módulo. Es crucial proporcionar más detalles sobre su origen, estructura e interfaz.

Para verificar la existencia y ubicación del módulo inferencer, ejecute el siguiente script:

frontend/src/services/vulnerabilities.ts (1)

74-78: Cambio aprobado, pero verifica su impacto en el resto del código.

La modificación del tipo CWEData es coherente con los objetivos del PR de mejorar las recomendaciones de CWE. Sin embargo, este cambio podría afectar a otras partes del código que utilizan este tipo.

Ejecuta el siguiente script para verificar el uso de CWEData en el resto del código:

frontend/src/i18n/en-US/index.ts (1)

677-680: Las nuevas entradas de localización son correctas y están alineadas con los objetivos del PR.

Las adiciones de 'recommendedCwe', 'recommendCwe', 'showAncestors' y 'hideAncestors' son apropiadas y respaldan directamente la nueva funcionalidad de recomendación de CWE descrita en los objetivos del PR. La implementación es clara y sigue el formato existente en el archivo.

frontend/src/routes/vulnerabilities/hooks/useVulnState.ts (2)

3-7: Nueva definición del tipo CWERelated implementada correctamente

La definición del tipo CWERelated está bien estructurada y utiliza correctamente las propiedades opcionales con ?.

---

111-116: Estados adicionales expuestos correctamente

Los nuevos estados se han añadido adecuadamente al objeto de retorno de useVulnState, permitiendo su uso en otros componentes.

frontend/src/services/getCWEName.ts (1)

37-37: Verificar actualizaciones de llamadas a GetCWENameByLanguage

La firma del método GetCWENameByLanguage ha cambiado para aceptar cweDataArray: CWENumbers[] en lugar de cweIdToFind: string. Asegúrate de que todas las llamadas a este método estén actualizadas para evitar errores en tiempo de ejecución.

Ejecuta el siguiente script para localizar llamadas al método y verificar su uso:

✅ Verification successful

Verificación completada: No se encontraron llamadas a GetCWENameByLanguage con la firma antigua.

🏁 Scripts executed

The following scripts were executed for the analysis:

Script:

#!/bin/bash
# Descripción: Busca llamadas a 'GetCWENameByLanguage' con la antigua firma.

# Comando: Busca en archivos TypeScript y JavaScript.
rg --type ts --type js -P "GetCWENameByLanguage\s*\(\s*\w+\s*,\s*[^)]*\)"

Length of output: 75

frontend/src/routes/vulnerabilities/components/MultiCheckboxButton.tsx (1)

57-62: Optimizar la generación de la lista de CWE para mejorar rendimiento

En la generación de allStrings, estás aplanando el array de CWEs y filtrando valores nulos o indefinidos. Si cwesRecommended es una lista grande, esta operación podría afectar al rendimiento.

Considera construir allStrings durante el proceso de mapeo inicial o revisar si es posible gestionar el estado sin necesidad de aplanar y filtrar, reduciendo así la complejidad computacional.

[performance]

frontend/src/routes/vulnerabilities/add/addVulnerability.tsx (1)

28-29: Considere verificar que 'cweParent' y 'cweGrandParent' no sean nulos antes de usarlos.

En la definición del tipo CWERelated, cweParent y cweGrandParent son opcionales. Asegúrese de manejar adecuadamente los casos en que estos valores puedan ser undefined para evitar posibles errores en tiempo de ejecución.

[coderabbitai]

Actionable comments posted: 11

📜 Review details

Configuration used: CodeRabbit UI
Review profile: ASSERTIVE

📥 Commits

Files that changed from the base of the PR and between 21133ab and 905f767.

📒 Files selected for processing (1)

• cwe_api/inferencer.py (1 hunks)

🧰 Additional context used

🪛 Ruff

cwe_api/inferencer.py

14-14: Missing return type annotation for public function postprocess

(ANN201)

---

14-14: Missing type annotation for self in method

(ANN101)

---

14-14: Missing type annotation for function argument model_outputs

(ANN001)

---

16-16: Unnecessary assignment to best_class before return statement

Remove unnecessary assignment

(RET504)

---

18-18: Missing return type annotation for public function inferencer

(ANN201)

---

18-18: Missing type annotation for function argument vuln

(ANN001)

---

47-47: Unnecessary start argument in range

Remove start argument

(PIE808)

---

49-49: Unnecessary assignment to predicts before return statement

Remove unnecessary assignment

(RET504)

[coderabbitai]

Actionable comments posted: 4

📜 Review details

Configuration used: CodeRabbit UI
Review profile: ASSERTIVE

📥 Commits

Files that changed from the base of the PR and between 905f767 and bef0b23.

📒 Files selected for processing (3)

• cwe_api/inferencer.py (1 hunks)
• frontend/src/i18n/en-US/index.ts (2 hunks)
• frontend/src/routes/vulnerabilities/add/addVulnerability.tsx (6 hunks)

🧰 Additional context used

🪛 Ruff

cwe_api/inferencer.py

14-14: Missing return type annotation for public function postprocess

(ANN201)

---

14-14: Missing type annotation for self in method

(ANN101)

---

14-14: Missing type annotation for function argument model_outputs

(ANN001)

---

16-16: Unnecessary assignment to best_class before return statement

Remove unnecessary assignment

(RET504)

---

18-18: Missing return type annotation for public function inferencer

(ANN201)

---

18-18: Missing type annotation for function argument vuln

(ANN001)

---

43-43: Unnecessary start argument in range

Remove start argument

(PIE808)

🔇 Additional comments (9)

frontend/src/i18n/en-US/index.ts (4)

686-686: ¡Bien hecho! La adición de 'recommendedCwe' es apropiada.

La inclusión de esta cadena de texto para CWE recomendados es coherente con los objetivos del PR y mejorará la funcionalidad relacionada con las recomendaciones de CWE.

---

687-687: La adición de 'recommendCwe' es acertada y necesaria.

Esta cadena de texto proporciona una acción clara para que los usuarios soliciten recomendaciones de CWE, lo cual es fundamental para la nueva funcionalidad que se está implementando.

---

688-688: La inclusión de 'showAncestors' es crucial para la nueva funcionalidad.

Esta cadena permitirá a los usuarios ver las relaciones jerárquicas de los CWE, lo cual es una parte importante de la mejora propuesta en este PR. Es una adición necesaria y bien pensada.

---

686-689: Las adiciones a las cadenas de localización son apropiadas y bien implementadas.

Todas las nuevas cadenas añadidas son coherentes con los objetivos del PR y proporcionarán una interfaz de usuario clara para la nueva funcionalidad de recomendación de CWE. La única sugerencia menor es asegurar la consistencia en el uso de singular o plural para 'Ancestor(s)'.

frontend/src/routes/vulnerabilities/add/addVulnerability.tsx (5)

20-24: Definición adecuada del tipo 'CWEData'

La definición del tipo CWEData es correcta y sigue las convenciones de TypeScript.

---

26-30: Definición adecuada del tipo 'CWERelated'

La estructura del tipo CWERelated está bien diseñada, y las propiedades opcionales se manejan apropiadamente.

---

97-101: Inicialización correcta de estados para recomendaciones CWE

La declaración de estados con useState para gestionar las recomendaciones de CWE es apropiada y sigue las buenas prácticas de React.

---

176-177: Reseteo de selecciones y recomendaciones de CWE al cambiar de idioma

Es correcto limpiar las selecciones y recomendaciones de CWE al cambiar el lenguaje, evitando inconsistencias en los datos mostrados al usuario.

---

232-240: Manejo adecuado del estado de carga durante la solicitud de recomendaciones CWE

El estado cweLoading se establece correctamente antes y después de la solicitud, y se gestiona adecuadamente en caso de error, evitando loaders infinitos.

[coderabbitai]

Actionable comments posted: 3

📜 Review details

Configuration used: CodeRabbit UI
Review profile: ASSERTIVE

📥 Commits

Files that changed from the base of the PR and between bef0b23 and fd2f8bb.

📒 Files selected for processing (2)

• frontend/src/routes/vulnerabilities/add/addVulnerability.tsx (6 hunks)
• frontend/src/routes/vulnerabilities/edit/editVulnerability.tsx (6 hunks)

🧰 Additional context used

🔇 Additional comments (9)

frontend/src/routes/vulnerabilities/add/addVulnerability.tsx (9)

20-24: Definición correcta del tipo CWEData.

La estructura definida para CWEData es adecuada y permitirá manejar correctamente los datos relacionados con las CWEs.

---

26-30: Definición correcta del tipo CWERelated.

La declaración del tipo CWERelated está bien construida y soporta opcionalmente los campos para ancestros de las CWEs.

---

97-101: Gestión adecuada del estado para las recomendaciones CWE.

La inicialización de los estados cweLoading, cweRecommendationSelected y cweRecommended es correcta y sigue buenas prácticas de React.

---

176-177: Reset del estado al cambiar el lenguaje.

Al cambiar el lenguaje, se está limpiando correctamente las recomendaciones y las selecciones de CWEs, lo cual previene inconsistencias.

---

243-244: Correcto manejo del estado de carga en el bloque finally.

Al mover setCweLoading(false); al bloque finally, asegura que el indicador de carga se detenga incluso si ocurre una excepción.

---

469-470: 🧹 Nitpick (assertive)

Utilice un componente de carga estándar para mejorar la accesibilidad.

El uso de ArrowPathIcon como indicador de carga es poco convencional. Sería más apropiado utilizar un componente de spinner estándar para mejorar la experiencia del usuario y la accesibilidad.

Considere este cambio:

<ArrowPathIcon className="h-8 w-8 animate-spin text-blue-500" />
+<Spinner className="h-8 w-8 text-blue-500" />

No olvide importar el componente Spinner correspondiente.

Likely invalid or redundant comment.

---

464-465: ⚠️ Potential issue

Corrija la ortografía de 'handleCWERecomendation' a 'handleCWERecommendation'.

El nombre de la función está mal escrito. Debería ser handleCWERecommendation para mantener la consistencia y claridad en el código.

Aplique este cambio:

<PrimaryButton onClick={() => handleCWERecomendation()}>
+<PrimaryButton onClick={() => handleCWERecommendation()}>

Asegúrese de actualizar todas las referencias a esta función en su código.

Likely invalid or redundant comment.

---

251-251: ⚠️ Potential issue

Evite duplicados al actualizar la lista de CWEs.

Al combinar cweRecommendationSelected y prevDetail.cwes, podrían surgir duplicados en la lista de CWEs. Es importante mantener una lista única para evitar redundancias.

Puede modificar el código para eliminar duplicados:

cwes: [...cweRecommendationSelected, ...prevDetail.cwes],
+ cwes: [...new Set([...prevDetail.cwes, ...cweRecommendationSelected])],

Esto garantizará que la lista de CWEs sea única y no contenga elementos repetidos.

Likely invalid or redundant comment.

---

481-487: 🧹 Nitpick (assertive)

Añada atributos ARIA para mejorar la accesibilidad del botón de confirmación.

Para incrementar la accesibilidad, es recomendable añadir un atributo aria-label o title al botón de confirmación.

Puede hacerlo de la siguiente manera:

<PrimaryButton
  onClick={() => {
    handlerSubmitCWE();
  }}
+ aria-label={t('btn.confirmSelection')}
>

Likely invalid or redundant comment.

[jllanosg]

works

[jllanosg]

trabajos

[caverav]

LGTM