Skip to main content

このバージョンの GitHub Enterprise はこの日付をもって終了となりました: 2023-01-18. 重大なセキュリティの問題に対してであっても、パッチリリースは作成されません。 パフォーマンスの向上、セキュリティの向上、新機能の向上を図るために、最新バージョンの GitHub Enterprise にアップグレードします。 アップグレードに関するヘルプについては、GitHub Enterprise サポートにお問い合わせく� さい

コード スキャンについて

この記事では、次の� �目が扱われます。

code scanning を使用して、GitHub 上のプロジェクトのコードからセキュリティの脆弱性とエラーを見つけることができます。

Code scanning は、GitHub Enterprise Server の Organization 所有のリポジトリで利用できます。 この機能には、GitHub Advanced Security のライセンスが必要です。 詳細については、「GitHub Advanced Security について」を参照してく� さい。

注: この機能を使用するには、サイト管理者が の code scanning を有効にする必要があります。 詳しくは、「アプライアンスでの code scanning の構成」をご覧く� さい。

code scanning について

Code scanning は、開発者が GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディングエラーを見つけることができる機能です。 分析によって特定されたすべての問題はGitHub Enterprise Serverに表示されます。

code scanning を使用して、コード内の既存の問題の修正を検索し、トリアージして、優先� �位を付けることができます。 また、Code scanning は、開発者による新しい問題の発生も防ぎます。 特定の日付と時刻でのスキャンをスケジュールしたり、プッシュなどの特定のイベントがリポジトリで発生したときにスキャンをトリガーしたりできます。

code scanning がコードに潜在的な脆弱性またはエラーを見つけた� �合、GitHub はリポジトリにアラートを表示します。 アラートを引き起こしたコードを修正すると、GitHubはそのアラートを閉じます。 詳細については、「リポジトリの code scanning アラートの管理」を参照してく� さい。

リポジトリまたは Organization をまたいで code scanning による結果を監視するには、webhooks や code scanning API を使用できます。 code scanning の Webhook の詳細については、「webhook イベントとペイロード」を参照してく� さい。 API エンドポイントの詳細については、「Code scanning」を参照してく� さい。

code scanning の概要については、「リポジトリの code scanning の設定」を参照してく� さい。

code scanning のツールについて

GitHub またはサードパーティ製 code scanning ツールによって保守されている CodeQL 製品を使うように code scanning を設定することができます。

CodeQL の分析について

CodeQL は、セキュリティ チェックを自動化するために GitHub が開発した、コード分析エンジンです。 CodeQL を使用してコードを分析し、結果を code scanning アラートとして表示することができます。CodeQL の詳細については、「CodeQL を使ったコード スキャンについて」を参照してく� さい。

サードパーティのcode scanningツールについて

Code scanningは、Static Analysis Results Interchange Format (SARIF) データを出力するサードパーティのコードスキャンニングツールと相互運用できます。 SARIFはオープン標準です。 詳しくは、「code scanning の SARIF 出力」をご覧く� さい。

Actionsを使ってGitHub Enterprise Server内で、あるいは外部のCIシステ� 内でサードパーティの分析ツールを実行できます。 詳細については、「リポジトリのコード スキャンの設定」または「SARIF ファイルを GitHub にアップロードする」を参照してく� さい。