Skip to main content

コード スキャンの既定のセットアップの評価

コード スキャンがどのように機能しているかを評価する方法と、コードセキュリティのニーズを最も満たすようにセットアップをカスタマイズする方法について説明します。

この機能を使用できるユーザーについて

Code scanning は、GitHub Enterprise Server の Organization 所有のリポジトリで利用できます。 この機能には、GitHub Advanced Security のライセンスが必要です。 詳しくは、「GitHub Advanced Security について」を参照してください。

code scanning の使用を初めて開始するときは、既定のセットアップを使用する可能性が高いです。 このガイドでは、code scanning の既定のセットアップがどのように機能しているかを評価する方法と、想定どおりに動作しない場合に実行する手順について説明します。 このガイドでは、新しい構成に適合しない特定のユース ケースがある場合に、code scanning をカスタマイズする方法についても説明します。

code scanning のカスタマイズ

既定のセットアップを初めて構成するとき、またはコードの初期分析後に、既定のセットアップで分析する言語と、分析中に実行するクエリ スイートを編集できます。 default クエリ スイートには、誤検知の結果を最小限に抑えながら、最も関連性の高いセキュリティの issue を探すために慎重に設計された一連のクエリが含まれています。 ただし、security-extended スイートを使用して追加のクエリを実行できます。このクエリの精度は若干低くなります。 使用可能なクエリ スイートの詳細については、「CodeQL クエリ スイート」を参照してください。

既定のセットアップのカスタマイズについては、「既定のセットアップの構成を編集する」を参照してください。

高度なセットアップの使用

code scanning をより細かく制御する必要があることがわかった場合は、高度なセットアップを使用できます。 高度なセットアップでは、構成、カスタマイズ、および保守に非常に多くの労力が必要となるため、最初に既定のセットアップを有効にすることをおすすめします。 詳細設定についての詳細は、「コード スキャンの高度なセットアップの構成」および「コード スキャン用の高度なセットアップのカスタマイズ」を参照してください。

ツールの状態ページ を使用した code scanning の評価

ツールの状態ページには、すべての code scanning ツールに関する有用な情報が表示されます。 これを使用して、個々のツールがリポジトリで動作しているかどうか、リポジトリ内のファイルが最初に、また最後にスキャンされたのはいつか、および今後のスキャンがいつスケジュールされているかを調査できます。 また、issue をデバッグするための始点としても便利です。

ツールの状態ページ を使用することで、code scanning と照合するルールのリストを CSV 形式でダウンロードできます。 CodeQL などの統合ツールについては、スキャンされたファイルの割合や特定のエラー メッセージなど、より詳細な情報を確認することもできます。

既定のセットアップですべてのファイルがスキャンされない場合は、code scanning をカスタマイズする必要があります。 詳細については、この記事の「コード スキャンのカスタマイズ」を参照してください。 他の方法として、また他の機能が期待どおりに動作しない場合には、専用のトラブルシューティング ドキュメントが役立つ場合があります。 詳しくは、「code scanning のトラブルシューティング」をご覧ください。

ツールの状態ページ の詳細については、「コード スキャンのツール状態ページについて」を参照してください。