Skip to main content

About CodeQL code scanning in your CI system

You can analyze your code with CodeQL in a third-party continuous integration system and upload the results to GitHub.com. The resulting code scanning alerts are shown alongside any alerts generated within GitHub.

Code scanning is available for all public repositories on GitHub.com. Code scanning is also available for private repositories owned by organizations that use GitHub Enterprise Cloud and have a license for GitHub Advanced Security. For more information, see "GitHub's products."

About CodeQL code scanning in your CI system

Code scanning は、開発者が GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディングエラーを見つけることができる機能です。 分析によって特定されたすべての問題はGitHubに表示されます。 For information, see "About code scanning with CodeQL."

CodeQL code scanningをGitHub内で、GitHub Actionsを使って実行できます。 あるいは、サードーパーティの継続的インテグレーションあるいは継続的デリバリ/デプロイメント(CI/CD)システムを使っているなら、CodeQLの分析を既存のシステム上で実行し、その結果をGitHub.comにアップロードできます。

CodeQL CLIをサードパーティのシステムに追加して、コードを分析するツールを呼び、SARIFの結果をGitHubにアップロードしてください。 結果のcode scanningアラートは、GitHub内で生成されたアラートとともに表示されます。 詳しい情報については「CIシステムでのCodeQLコードスキャンニングについて」を参照してください。

Code scanningを複数の設定で実行する場合、アラートが複数の分析元を持つことがあります。 アラートが複数の分析元がある場合、それぞれの分析元に対するアラートのステータスをアラートページで見ることができます。 詳しい情報については「分析元について」を参照してください。

Note: Uploading SARIF data to display as code scanning results in GitHub is supported for organization-owned repositories with GitHub Advanced Security enabled, and public repositories on GitHub.com. For more information, see "Managing security and analysis settings for your repository."

About the CodeQL CLI

CodeQL CLIは、コードの分析に利用できるスタンドアローンの製品です。 その主な目的は、コードベースのデータベース表現であるCodeQLデータベースを生成することです。 データベースの準備ができれば、それに対してインタラクティブにクエリを実行したり、SARIFフォーマットで結果セットを生成するためのクエリのスイートを実行して、結果をGitHub.comにアップロードしたりできます。

Use the CodeQL CLI to analyze:

  • Dynamic languages, for example, JavaScript and Python.
  • Compiled languages, for example, C/C++, C# and Java.
  • Codebases written in a mixture of languages.

For more information, see "Installing CodeQL CLI in your CI system."

ノート: CodeQL CLIはパブリックリポジトリでは無料で使用できます。 CodeQL CLIは、GitHub Enterprise Cloudを使用し、GitHub Advanced Securityのライセンスを持っているOrganizationが所有するプライベートリポジトリでも使用できます。 詳細については「GitHub CodeQLの利用規約」及び「CodeQL CLI」を参照してください。