アプライアンスのコードスキャンを設定する

your GitHub Enterprise Server instance の code scanning を有効化、設定、および無効化できます。 Code scanning を使用すると、コードの脆弱性やエラーをスキャンできます。

Code scanning is available for organization-owned repositories where GitHub Advanced Security is enabled. 詳しい情報については、「GitHub Advanced Security について」を参照してください。

code scanning について

Code scanning は、開発者が GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディングエラーを見つけることができる機能です。 分析によって特定されたすべての問題はGitHub Enterprise Serverに表示されます。

You can configure code scanning to run CodeQL analysis and third-party analysis. Code scanning also supports running analysis natively using GitHub Actions or externally using existing CI/CD infrastructure. The table below summarizes all the options available to users when you configure your GitHub Enterprise Server instance to allow code scanning using actions.

分析の種類 アラート生成のオプション
| CodeQL | GitHub Actionsの利用(「[Actionsを使うcode scanningのセットアップ](/github/finding-security-vulnerabilities-and-errors-in-your-code/setting-up-code-scanning-for-a-repository#setting-up-code-scanning-using-actions)」)もしくはサードパーティの継続的インテグレーション(CI)システムでのCodeQL分析の実行(「[CIシステムでのCodeQL code scanning)](/code-security/secure-coding/about-codeql-code-scanning-in-your-ci-system)」)。 | サードパーティ | GitHub Actionsの利用(「[アクションを使うcode scanningのセットアップ](/github/finding-security-vulnerabilities-and-errors-in-your-code/setting-up-code-scanning-for-a-repository#setting-up-code-scanning-using-actions)」)あるいは外部で生成してGitHub Enterprise Serverへアップロード(「[GitHubへのSARIFファイルのアップロード](/github/finding-security-vulnerabilities-and-errors-in-your-code/uploading-a-sarif-file-to-github)」)。

Prerequisites for code scanning

GitHub Actions を使用して code scanning を実行する

セルフホストランナーを設定する

GitHub Enterprise Server は、GitHub Actions ワークフローを使用して code scanning を実行できます。 まず、環境内に 1 つ以上のセルフホスト GitHub Actions ランナーをプロビジョニングする必要があります。 セルフホストランナーは、リポジトリ、Organization、または Enterprise アカウントレベルでプロビジョニングできます。 詳しい情報については、「セルフホストランナーについて」および「セルフホストランナーを追加する」を参照してください。

CodeQL アクションを実行するために使用するセルフホストランナーの PATH 変数に Git が含まれていることを確認する必要があります。

Provisioning the actions for code scanning

If you want to use actions to run code scanning on GitHub Enterprise Server, the actions must be available on your appliance.

CodeQL アクションは GitHub Enterprise Server のインストールに含まれています。 GitHub Enterprise Server がインターネットにアクセス可能な場合、アクションは分析の実行に必要な CodeQL バンドルを自動的にダウンロードします。 または、同期ツールを使用して、CodeQL 分析バンドルをローカルで使用できるようにすることもできます。 詳しい情報については、以下の「インターネットにアクセスできないサーバーで CodeQL 分析を設定する」を参照してください。

GitHub Connect を設定することで、code scanning のユーザがサードパーティのアクションを利用できるようにすることもできます。 詳しい情報については、以下の「GitHub Actions を同期するために GitHub Connect を設定する」を参照してください。

インターネットアクセスのないサーバーで CodeQL 分析を設定する

GitHub Enterprise Server を実行しているサーバーがインターネットに接続されておらず、ユーザがリポジトリに対して CodeQL code scanning を有効にできるようにする場合は、CodeQL アクション同期ツールを使用して CodeQL 分析バンドルを GitHub.com からサーバーにコピーする必要があります。 ツールおよびツールの使用方法の詳細は、https://github.com/github/codeql-action-sync-tool で確認できます。

CodeQL アクション同期ツールを設定すると、それを使用して、CodeQL アクションの最新リリースと関連する CodeQL 分析バンドルを同期できます。 これらは GitHub Enterprise Server と互換性があります。

GitHub Actions を同期するために GitHub Connect を設定する

  1. GitHub.com からオンデマンドでアクションワークフローをダウンロードする場合は、GitHub Connect を有効にする必要があります。 詳しい情報については、「GitHub Connect を有効化する」を参照してください。
  2. また、your GitHub Enterprise Server instance に対して GitHub Actions を有効化する必要があります。 詳しい情報については、「GitHub Enterprise Server の GitHub Actions を使ってみる」を参照してください。
  3. 次のステップは、GitHub Connect を使用して、GitHub.com に対するアクションへのアクセスを設定することです。 詳しい情報については、「GitHub Connect を使用した GitHub.com アクションへの自動アクセスを有効化する」を参照してください。
  4. セルフホストランナーをリポジトリ、Organization、または Enterprise アカウントに追加します。 詳しい情報については「セルフホストランナーの追加」を参照してください。

CodeQLランナー を使用して code scanning を実行する

GitHub Actions を使用しない場合は、CodeQLランナー を使用して code scanning を実行できます。

CodeQLランナー は、サードパーティの CI/CD システムに追加できるコマンドラインツールです。 このツールは、GitHub リポジトリのチェックアウトに対して CodeQL 分析を実行します。 詳しい情報については、「code scanning を CI システムで実行する」を参照してください。

このドキュメントは役立ちましたか?

プライバシーポリシー

これらのドキュメントを素晴らしいものにするのを手伝ってください!

GitHubのすべてのドキュメントはオープンソースです。間違っていたり、はっきりしないところがありましたか?Pull Requestをお送りください。

コントリビューションを行う

OR, コントリビューションの方法を学んでください。

問題がまだ解決していませんか?