Skip to main content

与代码扫描集成

您可以通过将数据上传为 SARIF 文件来集成第三方代码分析工具与 GitHub code scanning。

谁可以使用此功能?

Code scanning 可用于 GitHub.com 上的所有公共存储库。 Code scanning 也可用于使用 GitHub Enterprise Cloud 并拥有 GitHub Advanced Security 许可证的组织所拥有的专用存储库。 有关详细信息,请参阅“关于 GitHub 高级安全性”。

关于与代码扫描的集成

可以在外部执行 code scanning,然后在 GitHub 中显示结果,或者配置侦听存储库中 code scanning 活动的 Webhook。

在现有 CI 系统上使用代码扫描

可以在第三方持续集成系统中用 CodeQL CLI 或其他工具分析代码,并将结果上传到 GitHub.com。 由此产生的 code scanning 警报与 GitHub 内生成的任何警报一起显示。

将 SARIF 文件上传到 GitHub

您可以将 SARIF 文件从第三方静态分析工具上传到 GitHub,并且在仓库中看到 code scanning 来自这些工具的警报。

对代码扫描的 SARIF 支持

要在 GitHub 上的仓库中显示第三方静态分析工具的结果,您需要将结果存储在 SARIF 文件中,以支持用于 code scanning 的 SARIF 2.1.0 JSON 架构的特定子集。 如果使用默认 CodeQL 静态分析引擎,结果将自动显示于您在 GitHub 上的仓库中。