About CodeQL code scanning in your CI system
Code scanning は、開発者が GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディングエラーを見つけることができる機能です。 分析によって特定されたすべての問題はGitHub Enterprise Cloudに表示されます。 For information, see "About code scanning with CodeQL."
CodeQL code scanningをGitHub Enterprise Cloud内で、GitHub Actionsを使って実行できます。 あるいは、サードーパーティの継続的インテグレーションあるいは継続的デリバリ/デプロイメント(CI/CD)システムを使っているなら、CodeQLの分析を既存のシステム上で実行し、その結果をGitHub.comにアップロードできます。
CodeQL CLIをサードパーティのシステムに追加して、コードを分析するツールを呼び、SARIFの結果をGitHub Enterprise Cloudにアップロードしてください。 結果のcode scanningアラートは、GitHub Enterprise Cloud内で生成されたアラートとともに表示されます。 For more information, see "About CodeQL code scanning in your CI system."
If you run code scanning using multiple configurations, then sometimes an alert will have multiple analysis origins. If an alert has multiple analysis origins, you can view the status of the alert for each analysis origin on the alert page. 詳しい情報については「分析元について」を参照してください。
Note: Uploading SARIF data to display as code scanning results in GitHub Enterprise Cloud is supported for organization-owned repositories with GitHub Advanced Security enabled, and public repositories on GitHub.com. For more information, see "Managing security and analysis settings for your repository."
About the CodeQL CLI
CodeQL CLIは、コードの分析に利用できるスタンドアローンの製品です。 その主な目的は、コードベースのデータベース表現であるCodeQLデータベースを生成することです。 データベースの準備ができれば、それに対してインタラクティブにクエリを実行したり、SARIFフォーマットで結果セットを生成するためのクエリのスイートを実行して、結果をGitHub.comにアップロードしたりできます。
Use the CodeQL CLI to analyze:
- Dynamic languages, for example, JavaScript and Python.
- Compiled languages, for example, C/C++, C# and Java.
- Codebases written in a mixture of languages.
For more information, see "Installing CodeQL CLI in your CI system."
Note: The CodeQL CLI is free to use on public repositories that are maintained on GitHub.com, and available to use on private repositories that are owned by customers with an Advanced Security license. 詳細については「GitHub Enterprise Cloud CodeQLの利用規約」及び「CodeQL CLI」を参照してください。