CIシステムでのCodeQL Code scanningについて

CodeQLを使い、サードパーティの継続的インテグレーションシステムでコードを分析し、結果をGitHubにアップロードできます。 結果のcode scanningアラートは、GitHub内で生成されたアラートとともに表示されます。

Code scanningは、Organizationが所有するGitHub Advanced Securityが有効化されたすべてのパブリック及びプライベートリポジトリで利用できます。 詳しい情報については、「GitHub Advanced Security について」を参照してください。

CIシステムでのCodeQL code scanningについて

Code scanning は、開発者が GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディングエラーを見つけることができる機能です。 分析によって特定されたすべての問題はGitHubに表示されます。 For information, see "About code scanning with CodeQL."

CodeQL code scanningをGitHub内で、GitHub Actionsを使って実行できます。 あるいは、サードーパーティの継続的インテグレーションあるいは継続的デリバリ/デプロイメント(CI/CD)システムを使っているなら、CodeQLの分析を既存のシステム上で実行し、その結果をGitHubにアップロードできます。

CodeQL CLIをサードパーティのシステムに追加して、コードを分析するツールを呼び、SARIFの結果をGitHubにアップロードしてください。 結果のcode scanningアラートは、GitHub内で生成されたアラートとともに表示されます。

ノート: GitHubでcode scanningの結果として表示するためにSARIFデータをアップロードすることは、GitHub Advanced Securityが有効化されたOrganizationが所有するリポジトリとGitHub.com上のパブリックリポジトリでサポートされています。 詳しい情報については「リポジトリのセキュリティ及び分析の設定の管理」を参照してください。

CodeQL CLI について

CodeQL CLIは、コードの分析に利用できるスタンドアローンの製品です。 その主な目的は、コードベースのデータベース表現であるCodeQLデータベースを生成することです。 データベースの準備ができれば、それに対してインタラクティブにクエリを実行したり、SARIFフォーマットで結果セットを生成するためのクエリのスイートを実行して、結果をGitHubにアップロードしたりできます。

以下の分析にはCodeQL CLIを使ってください:

  • たとえばJavaScriptやPythonのような動的言語。
  • たとえばC/C++、C#、Javaのようなコンパイル言語。
  • 複数言語を組み合わせて書かれたコードベース。

詳しい情報については「CIシステムでのCodeQL CLIのインストール」を参照してください。

ノート:GitHub.com上で管理されるパブリックリポジトリでのCodeQL CLIの使用は無料であり、Advanced Securityライセンスを持つお客様が所有するプライベートリポジトリ上で使用できます。 詳細については「GitHub CodeQLの利用規約」及び「CodeQL CLI」を参照してください。

このドキュメントは役立ちましたか?

プライバシーポリシー

これらのドキュメントを素晴らしいものにするのを手伝ってください!

GitHubのすべてのドキュメントはオープンソースです。間違っていたり、はっきりしないところがありましたか?Pull Requestをお送りください。

コントリビューションを行う

OR, コントリビューションの方法を学んでください。

問題がまだ解決していませんか?