ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

アプライアンスのコードスキャンを設定する

your GitHub Enterprise Server instance の code scanning を有効化、設定、および無効化できます。 Code scanning を使用すると、コードの脆弱性やエラーをスキャンできます。

Code scanning is available if you have a license for GitHub Advanced Security. 詳しい情報については、「GitHub Advanced Security について」を参照してください。

ここには以下の内容があります:

code scanning について

Code scanning は、開発者が GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディングエラーを見つけることができる機能です。 分析によって特定されたすべての問題はGitHub Enterprise Serverに表示されます。

以下の表は、code scanning で利用可能な分析タイプをまとめたもので、個々のリポジトリで機能を有効化するためのリンクを示しています。

分析の種類 アラート生成のオプション
CodeQL GitHub Actionsの利用(「アクションを使うcode scanningのセットアップ」参照)あるいはサードパーティの継続的インテグレーション(CI)システム中でのCodeQL runnerの利用(「CIシステム中でのCodeQLコードスキャンの実行」参照)。
サードパーティ GitHub Actionsの利用(「アクションを使うcode scanningのセットアップ」)あるいは外部で生成してGitHub Enterprise Serverへアップロード(「GitHubへのSARIFファイルのアップロード」)。

your GitHub Enterprise Server instance のユーザがリポジトリで code scanning を有効化して使用できるようにするには、サイト管理者として、アプライアンス全体でこの機能を有効にする必要があります。

アプライアンスで code scanning が有効かどうかを確認する方法

  1. GitHub Enterprise Serverの管理アカウントから、任意のページの右上にあるをクリックしてください。
    サイトアドミン設定にアクセスするための宇宙船のアイコン
  2. 左のサイドバーでManagement Consoleをクリックしてください。
    左のサイドバーのManagement Consoleタブ
  3. 左のサイドバーに Advanced Security エントリがあるかどうかを確認します。
    [Advanced Security] サイドバー

サイドバーにAdvanced Securityが表示されない場合は、code scanning及びsecret scanningを含むAdvanced Securityの機能のサポートがライセンスに含まれていないということです。 Advanced Security ライセンスを使用すると、リポジトリとコードのセキュリティを強化するのに役立つ機能にアクセスできます。 詳しい情報については「GitHub Advanced Securityについて」を参照するか、GitHubの営業チームに連絡してください。

code scanning の有効化

警告: この設定を変更すると、GitHub Enterprise Serverが再起動します。 この変更は、ダウンタイムを最小化するために慎重に時間を調整しなければなりません。

  1. GitHub Enterprise Serverの管理アカウントから、任意のページの右上にあるをクリックしてください。
    サイトアドミン設定にアクセスするための宇宙船のアイコン
  2. 左のサイドバーでManagement Consoleをクリックしてください。
    左のサイドバーのManagement Consoleタブ
  3. 左のサイドバーでAdvanced Securityをクリックしてください。
    [Advanced Security] サイドバー
  4. [ Advanced Security] の下にある [Code scanning] をクリックします。
    code scanning を有効化または無効化するチェックボックス
  5. 左のサイドバーの下でSave settings(設定の保存)をクリックしてください。
    Management Console での [Save settings] ボタン
  6. 設定が完了するのを待ってください。

GitHub Actions を使用して code scanning を実行する

セルフホストランナーを設定する

GitHub Enterprise Server は、GitHub Actions ワークフローを使用して code scanning を実行できます。 まず、環境内に 1 つ以上のセルフホスト GitHub Actions ランナーをプロビジョニングする必要があります。 セルフホストランナーは、リポジトリ、Organization、または Enterprise アカウントレベルでプロビジョニングできます。 詳しい情報については、「セルフホストランナーについて」および「セルフホストランナーを追加する」を参照してください。

CodeQL アクションを実行するために使用するセルフホストランナーの PATH 変数に Git が含まれていることを確認する必要があります。

アクションをプロビジョニングする

If you want to use actions to run code scanning on GitHub Enterprise Server, the actions must be available on your appliance.

The CodeQL action is included in your installation of GitHub Enterprise Server. If GitHub Enterprise Server has access to the internet, the action will automatically download the CodeQL bundle required to perform analysis. Alternatively, you can use a synchronization tool to make the CodeQL analysis bundle available locally. For more information, see "Configuring CodeQL analysis on a server without internet access" below.

You can also make third-party actions available to users for code scanning, by setting up GitHub Connect. For more information, see "Configuring GitHub Connect to sync GitHub Actions" below.

Configuring CodeQL analysis on a server without internet access

If the server on which you are running GitHub Enterprise Server is not connected to the internet, and you want to allow users to enable CodeQL code scanning for their repositories, you must use the CodeQL action sync tool to copy the CodeQL analysis bundle from GitHub.com to your server. ツールおよびツールの使用方法の詳細は、https://github.com/github/codeql-action-sync-tool で確認できます。

If you set up the CodeQL action sync tool, you can use it to sync the latest releases of the CodeQL action and associated CodeQL analysis bundle. These are compatible with GitHub Enterprise Server.

GitHub Actions を同期するために GitHub Connect を設定する

  1. GitHub.com からオンデマンドでアクションワークフローをダウンロードする場合は、GitHub Connect を有効にする必要があります。 詳しい情報については、「GitHub Connect を有効化する」を参照してください。
  2. また、your GitHub Enterprise Server instance に対して GitHub Actions を有効化する必要があります。 詳しい情報については、「GitHub Enterprise Server の GitHub Actions を使ってみる」を参照してください。
  3. 次のステップは、GitHub Connect を使用して、GitHub.com に対するアクションへのアクセスを設定することです。 詳しい情報については、「GitHub Connect を使用した GitHub.com アクションへの自動アクセスを有効化する」を参照してください。
  4. セルフホストランナーをリポジトリ、Organization、または Enterprise アカウントに追加します。 詳しい情報については「セルフホストランナーの追加」を参照してください。

個々のリポジトリのコードスキャンを有効にする

セルフホストランナーを設定し、ユーザは your GitHub Enterprise Server instance 上の個々のリポジトリに対して code scanning を有効にできます。 For more information, see "Setting up code scanning for a repository."

CodeQL runner を使用して code scanning を実行する

GitHub Actions を使用しない場合は、CodeQL runner を使用して code scanning を実行できます。

CodeQL runner は、サードパーティの CI/CD システムに追加できるコマンドラインツールです。 このツールは、GitHub リポジトリのチェックアウトに対して CodeQL 分析を実行します。 For more information, see "Running code scanning in your CI system."

code scanning を無効にする

警告: この設定を変更すると、GitHub Enterprise Serverが再起動します。 この変更は、ダウンタイムを最小化するために慎重に時間を調整しなければなりません。

  1. GitHub Enterprise Serverの管理アカウントから、任意のページの右上にあるをクリックしてください。
    サイトアドミン設定にアクセスするための宇宙船のアイコン
  2. 左のサイドバーでManagement Consoleをクリックしてください。
    左のサイドバーのManagement Consoleタブ
  3. 左のサイドバーでAdvanced Securityをクリックしてください。
    [Advanced Security] サイドバー
  4. [ [Advanced Security] の下にある [Code scanning] を選択解除します。
    code scanning を有効化または無効化するチェックボックス
  5. 左のサイドバーの下でSave settings(設定の保存)をクリックしてください。
    Management Console での [Save settings] ボタン
  6. 設定が完了するのを待ってください。

管理シェル (SSH) を介した code scanning の有効化または無効化

your GitHub Enterprise Server instance でプログラムによって code scanning を有効化または無効化できます。 たとえば、ステージングまたはシステム災害復旧に対してインスタンスをデプロイするときに、infrastructure-as-code ツールを使用して code scanning を有効化できます。

GitHub Enterprise Server の管理シェルおよびコマンドラインユーティリティの詳細については、「管理シェル (SSH) へのアクセス」および「コマンドラインユーティリティ」を参照してください。

  1. your GitHub Enterprise Server instanceにSSHでアクセスしてください。
  2. code scanning を有効化します。
    ghe-config app.minio.enabled true
    ghe-config app.code-scanning.enabled true
  3. 必要に応じて、code scanning を無効化します。
    ghe-config app.minio.enabled false
    ghe-config app.code-scanning.enabled false
  4. 設定を適用します。
    ghe-config-apply

Did this doc help you?

Privacy policy

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

OR, learn how to contribute.