Code scanningについて

code scanning について

Code scanning は、開発者が GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディングエラーを見つけることができる機能です。 分析によって特定されたすべての問題はGitHub Enterprise Serverに表示されます。

code scanning を使用して、コード内の既存の問題の修正を検索し、トリアージして、優先� �位を付けることができます。 また、Code scanning は、開発者による新しい問題の発生も防ぎます。 スキャンを特定の日時にスケジュールしたり、プッシュなどの特定のイベントがリポジトリで発生したときにスキャンをトリガーしたりすることができます。

code scanning がコードに潜在的な脆弱性またはエラーを見つけた� �合、GitHub はリポジトリにアラートを表示します。 アラートを引き起こしたコードを修正すると、GitHubはそのアラートを閉じます。 詳しい情� �については、「リポジトリの code scanning アラートを管理する」を参照してく� さい。

リポジトリまたは Organization をまたいで code scanning による結果を監視するには、webhooks や code scanning API を使用できます。 code scanning 用の webhook に関する詳しい情� �については、「Webhook イベントとペイロード」を参照してく� さい。 API に関する情� �については、 「Code scanning」を参照してく� さい。

code scanning を始めるには、「リポジトリに対する code scanning を設定する」を参照してく� さい。

About tools for code scanning

You can set up code scanning to use the CodeQL product maintained by GitHub or a third-party code scanning tool.

About CodeQL analysis

CodeQL is the code analysis engine developed by GitHub to automate security checks. You can analyze your code using CodeQL and display the results as code scanning alerts. For more information about CodeQL, see "About code scanning with CodeQL."

サードパーティのcode scanningツールについて

Code scanningは、Static Analysis Results Interchange Format (SARIF) データを出力するサードパーティのコードスキャンニングツールと相互運用できます。 SARIFはオープン標準です。 詳しい情� �については「code scanningのためのSARIF出力」を参照してく� さい。

Actionsを使ってGitHub Enterprise Server内で、あるいは外部のCIシステ� 内でサードパーティの分析ツールを実行できます。 詳しい情� �については「リポジトリのCode scanningのセットアップ」あるいは「SARIFファイルのGitHubへのアップロード」を参照してく� さい。