Integrarse con el escaneo de código
Puedes integrar las herramientas de análisis de código de terceros con el code scanning de GitHub su cargas datos como archivos SARIF.
¿Quién puede utilizar esta característica?
Code scanning está disponible para los tipos de repositorio siguientes:
- Repositorios públicos en GitHub.com
- Repositorios propiedad de la organización en GitHub Team o GitHub Enterprise Cloud con GitHub Code Security habilitado
Acerca de la integración con el escaneo de código
Puedes llevar a cabo un code scanning externamente y luego mostrar los resultados en GitHub o configurar webhooks que escuchen a la actividad de code scanning en tu repositorio.
Utilizar el análisis de código de CodeQL con tu sistema de IC existente
Puedes analizar tu código con la CodeQL CLI u otra herramienta en un sistema de integración continua de terceros y cargar los resultados en GitHub. Las alertas de code scanning resultantes se muestran junto con cualquier alerta que se genere en GitHub.
Subir un archivo SARIF a GitHub
Puedes cargar archivos SARIF de herramientas de análisis estático de terceros a GitHub y ver las alertas de code scanning en tu repositorio.
Soporte de SARIF para escaneo de código
Para mostrar los resultados de una herramienta de análisis estático de terceros en tu repositorio en GitHub, necesitas que éstos se almacenen en un archivo SARIF que sea compatible con un subconjunto del modelo de JSON para SARIF 2.1.0 para el code scanning. Si utilizas el motor de análisis estático predeterminado de CodeQL, tus resultados se mostrarán automáticamente en tu repositorio de GitHub.