Skip to main content

コード スキャンについて

code scanning を使用して、GitHub 上のプロジェクトのコードからセキュリティの脆弱性とエラーを見つけることができます。

この機能を使用できるユーザーについて

Code scanning は、次のリポジトリに使用できます:

  • GitHub.com 上のパブリックリポジトリ
  • GitHub Advanced Security が有効になっている GitHub Enterprise Cloud の組織所有リポジトリ

Code scanning は、GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディング エラーを見つけることができる機能です。 分析によって特定された問題は、リポジトリに表示されます。

code scanning を使用して、コード内の既存の問題の修正を検索し、トリアージして、優先順位を付けることができます。 また、Code scanning は、開発者による新しい問題の発生も防ぎます。 特定の日付と時刻でのスキャンをスケジュールしたり、プッシュなどの特定のイベントがリポジトリで発生したときにスキャンをトリガーしたりできます。

code scanning がコードに潜在的な脆弱性またはエラーを見つけた場合、GitHub はリポジトリにアラートを表示します。 アラートを引き起こしたコードを修正すると、GitHubはそのアラートを閉じます。 詳しくは、「コード スキャン アラートの解決」をご覧ください。

GitHub Copilot Autofix では、プライベート リポジトリ内の code scanning 分析からのアラートに対する修正プログラムが提案されます。これにより、開発者はより少ない労力で脆弱性を防ぎ、軽減できます。 詳しくは、「コード スキャンに対する Copilot Autofix の責任ある使用」をご覧ください。

リポジトリまたは Organization をまたいで code scanning による結果を監視するには、webhooks や code scanning API を使用できます。 code scanning の Webhook の詳細については、「Webhook のイベントとペイロード」を参照してください。 API エンドポイントについては、「コード スキャン用の REST API エンドポイント」を参照してください。

code scanning 概要については、「コード スキャンの既定セットアップの構成」を参照してください。

code scanning の課金について

Code scanning は GitHub Actions を使用し、code scanning ワークフローの実行ごとに GitHub Actions に数分かかります。 詳しくは、「GitHub Actions の課金について」をご覧ください。

プライベート リポジトリで code scanning を使用するには、GitHub Advanced Security のライセンスも必要です。 GitHub Advanced Security の無料試用については、「GitHub Advanced Security の無料試用版を設定する」を参照してください。

code scanning のツールについて

GitHub またはサードパーティ製code scanning ツールによって保守されている CodeQL 製品を使うようにcode scanningを構成することができます。

CodeQL の分析について

CodeQL は、セキュリティ チェックを自動化するために GitHub が開発した、コード分析エンジンです。 CodeQL を使用してコードを分析し、結果を code scanning アラートとして表示することができます。CodeQL の詳細については、「CodeQL によるコード スキャンについて」を参照してください。

サードパーティのcode scanningツールについて

Code scanning は、SARIF (Static Analysis Results Interchange Format) データを出力するサードパーティのコード スキャンニング ツールと相互運用できます。 SARIFはオープン標準です。 詳しくは、「Code scanningの SARIF サポート」を参照してください。

Actionsを使ってGitHub Enterprise Cloud内で、あるいは外部のCIシステム内でサードパーティの分析ツールを実行できます。 詳細については、「コード スキャンの高度なセットアップの構成」または「SARIF ファイルを GitHub にアップロードする」を参照してください。

ツールの状態ページ について

ツールの状態ページには、あらゆるコード スキャン ツールについての役立つ情報が掲載されています。 コード スキャンが期待どおりに機能しない場合、問題をデバッグするにはツールの状態ページから始めるのがよいでしょう。 詳しくは、「コード スキャンのツール状態ページについて」をご覧ください。