Skip to main content

コード スキャンについて

この記事では、次の項目が扱われます。

code scanning を使用して、GitHub 上のプロジェクトのコードからセキュリティの脆弱性とエラーを見つけることができます。

Code scanning is available for organization-owned repositories in GitHub Enterprise Server. This feature requires a license for GitHub Advanced Security. 詳細については、「GitHub Advanced Security について」を参照してください。

注: この機能を使用するには、サイト管理者が your GitHub Enterprise Server instance の code scanning を有効にする必要があります。 詳しくは、「アプライアンスでの code scanning の構成」をご覧ください。

code scanning について

Code scanning は、開発者が GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディングエラーを見つけることができる機能です。 分析によって特定されたすべての問題はGitHub Enterprise Serverに表示されます。

code scanning を使用して、コード内の既存の問題の修正を検索し、トリアージして、優先順位を付けることができます。 また、Code scanning は、開発者による新しい問題の発生も防ぎます。 特定の日付と時刻でのスキャンをスケジュールしたり、プッシュなどの特定のイベントがリポジトリで発生したときにスキャンをトリガーしたりできます。

code scanning がコードに潜在的な脆弱性またはエラーを見つけた場合、GitHub はリポジトリにアラートを表示します。 アラートを引き起こしたコードを修正すると、GitHubはそのアラートを閉じます。 詳細については、「リポジトリの code scanning アラートの管理」を参照してください。

リポジトリまたは Organization をまたいで code scanning による結果を監視するには、webhooks や code scanning API を使用できます。 code scanning の Webhook の詳細については、「webhook イベントとペイロード」を参照してください。 API エンドポイントの詳細については、「Code scanning」を参照してください。

code scanning の概要については、「リポジトリの code scanning の設定」を参照してください。

code scanning のツールについて

GitHub またはサードパーティ製 code scanning ツールによって保守されている CodeQL 製品を使うように code scanning を設定することができます。

CodeQL の分析について

CodeQL は、セキュリティ チェックを自動化するために GitHub が開発した、コード分析エンジンです。 CodeQL を使用してコードを分析し、結果を code scanning アラートとして表示することができます。CodeQL の詳細については、「CodeQL を使ったコード スキャンについて」を参照してください。

サードパーティのcode scanningツールについて

Code scanningは、Static Analysis Results Interchange Format (SARIF) データを出力するサードパーティのコードスキャンニングツールと相互運用できます。 SARIFはオープン標準です。 詳しくは、「code scanning の SARIF 出力」をご覧ください。

Actionsを使ってGitHub Enterprise Server内で、あるいは外部のCIシステム内でサードパーティの分析ツールを実行できます。 詳細については、「リポジトリのコード スキャンの設定」または「SARIF ファイルを GitHub にアップロードする」を参照してください。