# リポジトリのコード スキャンのアラートの評価

セキュリティ ビューからプロジェクトのコード内の潜在的な脆弱性やエラーに関するアラートを調査し、評価できます。

リポジトリの読み取りアクセス許可を持つすべてのユーザーは、pull request で code scanning 注釈を確認できます。 詳細については、「[Pull RequestでCode scanningアラートをトリアージする](/ja/code-security/code-scanning/managing-code-scanning-alerts/triaging-code-scanning-alerts-in-pull-requests)」を参照してください。

## リポジトリのアラートを表示する

\*\* <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality
\*\* タブでリポジトリのすべてのアラートの概要を表示するには、書き込みアクセス許可が必要です。

既定では、 code scanning アラート ページがフィルター処理され、リポジトリの既定のブランチのみのアラートが表示されます。

1. GitHub で、リポジトリのメイン ページに移動します。

2. リポジトリ名の下にある \[ **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** ] タブをクリックします。\[<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality] タブが表示されない場合は、 **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-kebab-horizontal" aria-label="kebab-horizontal" role="img"><path d="M8 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3ZM1.5 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Zm13 0a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Z"></path></svg>** ドロップダウン メニューを選択し、\[ **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality**] をクリックします。

3. 左側のサイドバーで、**<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-codescan" aria-label="codescan" role="img"><path d="M8.47 4.97a.75.75 0 0 0 0 1.06L9.94 7.5 8.47 8.97a.75.75 0 1 0 1.06 1.06l2-2a.75.75 0 0 0 0-1.06l-2-2a.75.75 0 0 0-1.06 0ZM6.53 6.03a.75.75 0 0 0-1.06-1.06l-2 2a.75.75 0 0 0 0 1.06l2 2a.75.75 0 1 0 1.06-1.06L5.06 7.5l1.47-1.47Z"></path><path d="M12.246 13.307a7.501 7.501 0 1 1 1.06-1.06l2.474 2.473a.749.749 0 0 1-.326 1.275.749.749 0 0 1-.734-.215ZM1.5 7.5a6.002 6.002 0 0 0 3.608 5.504 6.002 6.002 0 0 0 6.486-1.117.748.748 0 0 1 .292-.293A6 6 0 1 0 1.5 7.5Z"></path></svg> \[Code scanning]** をクリックします。

4. 必要に応じて、フリー テキスト検索ボックスまたはドロップダウン メニューを使用してアラートをフィルター処理します。 たとえば、アラートの識別に使用されたツールでフィルター処理できます。 リンクされた GitHub の問題は、対応するアラートと共にリスト ビューに表示されます。

   ![code scanning アラート ページのスクリーンショット。 検索ボックスとフィルターのドロップダウン メニューは、濃いオレンジでアウトラインされています。](/assets/images/help/repository/filter-code-scanning-alerts.png)

5. \[Code scanning] で、調査するアラートをクリックすると、詳しいアラート ページが表示されます。
   \[アラート] ページのステータスと詳細は、他のブランチにアラートが存在する場合であっても、リポジトリの既定のブランチに対するアラートのステータスを反映するのみです。 既定以外のブランチのアラートの状態は、\[アラート] ページの右側にある **\[影響を受けるブランチ]** セクションで確認できます。 既定のブランチにアラートが存在しない場合、アラートの状態は、\[in pull request] または \[in branch] として、グレー表示されます。 **\[Development]** セクションには、アラートを修正するリンク ブランチと pull request が表示されます。

6. アラートでデータ フローの問題が強調表示された場合は、必要に応じて **\[パスの表示]** をクリックし、データソースから、それが使用されているシンクまでのパスを表示します。 パス ビューには、ユーザーが指定したデータがコード (ソース) に入力された時点から、安全でない可能性のある操作 (シンク) で使用されるポイントまで、データ フロー内の各ステップが番号付きリストとして表示されます。

   ![code scanningのアラートのスクリーンショット。 \[パスの表示\] リンクと \[その他の表示\] リンクは濃いオレンジで囲まれています。](/assets/images/help/repository/code-scanning-alert-details.png)

   一部のアラートでは、同じ脆弱性を引き起こす可能性のあるコードを介して複数のパスが識別されます。 アラートに複数のパスがある場合は、使用可能なパスの数を示すドロップダウンがパス ビューの上に表示されます。 ドロップダウンから各パスを選択して、個別に確認できます。

   ![「3 つのパスが利用可能です」と表示されたパス選択のドロップダウンを含む、code scanning のアラート詳細ページのスクリーンショット。](/assets/images/help/repository/multiple-paths-available.png)

7. CodeQL分析からのアラートには、問題の説明が含まれます。 コードの修正方法に関するガイダンスについては、 **\[さらに表示]** をクリックします。

8. 必要に応じて、右側に表示される **\[Assignees]** コントロールを使って、アラートを修正する担当者に割り当てます。「[アラートの割り当て](/ja/code-security/securing-your-organization/fixing-security-alerts-at-scale/about-security-campaigns#assigning-alerts)」を参照してください。

詳細については、「[コード スキャンのアラート](/ja/code-security/code-scanning/managing-code-scanning-alerts/about-code-scanning-alerts)」を参照してください。

> \[!NOTE]
> ツールの状態ページで、分析 code scanning 最後に実行された日時に関する情報を確認できます。 詳細については、「[コード スキャンにツールの状態ページを使用する](/ja/code-security/code-scanning/managing-your-code-scanning-configuration/about-the-tool-status-page)」を参照してください。

## 組織の CodeQL pull request アラートのメトリックの表示

code scanning分析からのCodeQLアラートの場合は、セキュリティの概要を使用して、組織全体で書き込みアクセス権を持つリポジトリのプル要求でCodeQLがどのように実行されているかを確認したり、アクションを実行する必要があるリポジトリを特定したりできます。 詳細については、「[CodeQL プルリクエスト警告メトリクス](/ja/code-security/concepts/code-scanning/pull-request-alert-metrics)」を参照してください。

## code scanningアラートのフィルター処理

code scanningアラート ビューに表示されるアラートをフィルター処理できます。 これにより、特定の種類のアラートに集中できるため、数多くのアラートがある場合に便利です。 表示されるアラートの一覧を絞り込むために使用できるいくつかの定義済みのフィルターとさまざまなキーワードがあります。

ドロップダウン リストからキーワードを選ぶか、検索フィールドにキーワードを入力すると、結果が含まれる値のみが表示されます。 結果のないフィルターを設定せずに済みます。

![アラート ビューの検索フィールドのスクリーンショット。 フィールドには "branch:dependabot" があり、名前が一致するすべての有効なブランチが表示されます。](/assets/images/help/repository/code-scanning-filter-keywords.png)

複数のフィルターを入力すると、ビューには、これらの \_すべて\_のフィルターと一致するアラートが表示されます。 たとえば、`is:closed severity:high branch:main` ブランチに存在する重大度が高い閉じたアラートのみが `main` で表示されます。 例外は、refs (`ref`、`branch`、`pr`) に関連するフィルターです。`is:open branch:main branch:next`、`main` ブランチと `next` ブランチの両方のオープンなアラートが表示されます。

既定ではないブランチでフィルター処理したのと同じアラートが、既定のブランチに存在する場合、そのアラートのアラート ページには、その状態が既定ではないブランチでの状態と競合する場合でも、既定のブランチのアラートの状態のみが反映されることに注意してください。 たとえば、アラートの概要の `branch-x` の \[Open]\(オープン) リストに表示されるアラートは、そのアラートが既定のブランチで既に修正されている場合、アラート ページに "Fixed"(修正済み) の状態で表示される場合があります。 フィルター処理したブランチのアラートの状態は、アラート ページの右側の **\[Affected branches]\(影響を受けるブランチ)** セクションで確認できます。

`tag` フィルターにプレフィックス `-` を付けると、そのタグを含む結果を除外できます。 たとえば、`-tag:style` には `style` タグのないアラートのみが表示されます。

### 結果をアプリケーション コードのみに制限する

"Only alerts in application code" フィルターまたは `autofilter:true` キーワードと値を使用して、結果をアプリケーション コード内のアラートに制限できます。 アプリケーション コードではないと自動的にラベル付けされるコードの種類の詳細については、「[コード スキャンのアラート](/ja/code-security/code-scanning/managing-code-scanning-alerts/about-code-scanning-alerts#about-labels-for-alerts-that-are-not-found-in-application-code)」を参照してください。

## code scanningアラートの検索

アラートのリストを検索できます。 これは、リポジトリ中に大量のアラートがある場合や、たとえばアラートの正確な名前を知らないような場合に役立ちます。
GitHub は、次の中でフリーテキスト検索を実行します。

* アラートの名前です。
* アラート詳細 (これには、折り畳み可能なセクション **\[詳細を表示]** では既定で非表示になる情報も含まれます)

| サポートされている検索                                | 構文の例                | 結果                                        |
| ------------------------------------------ | ------------------- | ----------------------------------------- |
| 単一語検索                                      | `injection`         | 語 `injection` を含むすべてのアラートが返されます           |
| 複数語検索                                      | `sql injection`     |                                           |
| `sql` または `injection` を含むすべてのアラートが返されます    |                     |                                           |
| 完全一致検索</br>(二重引用符を使用)                      | `"sql injection"`   | 句 `sql injection` をこのとおりに含むすべてのアラートが返されます |
| OR検索                                       | `sql OR injection`  |                                           |
| `sql` または `injection` を含むすべてのアラートが返されます    |                     |                                           |
| AND検索                                      | `sql AND injection` |                                           |
| `sql` と `injection` の両方の語を含むすべてのアラートが返されます |                     |                                           |

> \[!TIP]
>
> * 複数語検索はOR検索と等価です。
> * AND 検索により、検索語句がアラート名または詳細の *任意の位置* に任意の順序で見つかった場合に結果が返されます。

1. GitHub で、リポジトリのメイン ページに移動します。
2. リポジトリ名の下にある \[ **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** ] タブをクリックします。\[<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality] タブが表示されない場合は、 **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-kebab-horizontal" aria-label="kebab-horizontal" role="img"><path d="M8 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3ZM1.5 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Zm13 0a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Z"></path></svg>** ドロップダウン メニューを選択し、\[ **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality**] をクリックします。
3. 左側のサイドバーで、**<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-codescan" aria-label="codescan" role="img"><path d="M8.47 4.97a.75.75 0 0 0 0 1.06L9.94 7.5 8.47 8.97a.75.75 0 1 0 1.06 1.06l2-2a.75.75 0 0 0 0-1.06l-2-2a.75.75 0 0 0-1.06 0ZM6.53 6.03a.75.75 0 0 0-1.06-1.06l-2 2a.75.75 0 0 0 0 1.06l2 2a.75.75 0 1 0 1.06-1.06L5.06 7.5l1.47-1.47Z"></path><path d="M12.246 13.307a7.501 7.501 0 1 1 1.06-1.06l2.474 2.473a.749.749 0 0 1-.326 1.275.749.749 0 0 1-.734-.215ZM1.5 7.5a6.002 6.002 0 0 0 3.608 5.504 6.002 6.002 0 0 0 6.486-1.117.748.748 0 0 1 .292-.293A6 6 0 1 0 1.5 7.5Z"></path></svg> \[Code scanning]** をクリックします。
4. **\[フィルター]** ドロップダウン メニューの右側にあるフリー テキスト検索ボックスに、検索するキーワードを入力します。

![アラート ビューの検索フィールドのスクリーンショット。 このフィールドには、定義済みのフィルター "is: open branch:main" と "sql or injection" のフリー テキストが強調表示されています。](/assets/images/help/repository/code-scanning-search-alerts.png)

1. <kbd>Return</kbd> キーを押します。 アラート一覧には、検索条件に一致する開いている code scanning アラートが含まれます。

## code scanning アラートへの応答の監査

code scanning ツールを使用して、GitHub アラートに応答して実行されたアクションを監査できます。 詳しくは、「[セキュリティ アラートの監査](/ja/code-security/getting-started/auditing-security-alerts)」をご覧ください。

## 詳細については、次を参照してください。

* [コード スキャン アラートを解決する](/ja/code-security/code-scanning/managing-code-scanning-alerts/resolving-code-scanning-alerts)
* [Pull RequestでCode scanningアラートをトリアージする](/ja/code-security/code-scanning/managing-code-scanning-alerts/triaging-code-scanning-alerts-in-pull-requests)
* [コード スキャンの既定セットアップの構成](/ja/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning)
* [コード スキャンとの統合](/ja/code-security/code-scanning/integrating-with-code-scanning/about-integration-with-code-scanning)