Skip to main content

このバージョンの GitHub Enterprise サーバーはこの日付をもって終了となります: 2024-03-07. 重大なセキュリティの問題に対してであっても、パッチリリースは作成されません。 パフォーマンスの向上、セキュリティの向上、新機能の向上を図るために、最新バージョンの GitHub Enterprise サーバーにアップグレードしてください。 アップグレードに関するヘルプについては、GitHub Enterprise サポートにお問い合わせください

コード スキャンについて

code scanning を使用して、GitHub 上のプロジェクトのコードからセキュリティの脆弱性とエラーを見つけることができます。

この機能を使用できるユーザーについて

Code scanning は、GitHub Enterprise Server の Organization 所有のリポジトリで利用できます。 この機能には、GitHub Advanced Security のライセンスが必要です。 詳しくは、「GitHub Advanced Security について」を参照してください。

注: この機能を使うには、サイト管理者が お使いの GitHub Enterprise Server インスタンス の code scanning を有効にする必要があります。 詳しくは、「アプライアンス用コードスキャンの構成」を参照してください。

Enterprise の所有者が Enterprise レベルで GitHub Advanced Security (GHAS) ポリシーを設定している場合、code scanning を有効または無効にできない場合があります。 詳しくは、「エンタープライズのコード セキュリティと分析のためのポリシーの適用」を参照してください。

code scanning について

Code scanning は、GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディング エラーを見つけることができる機能です。 分析によって特定された問題は、リポジトリに表示されます。

code scanning を使用して、コード内の既存の問題の修正を検索し、トリアージして、優先順位を付けることができます。 また、Code scanning は、開発者による新しい問題の発生も防ぎます。 特定の日付と時刻でのスキャンをスケジュールしたり、プッシュなどの特定のイベントがリポジトリで発生したときにスキャンをトリガーしたりできます。

code scanning がコードに潜在的な脆弱性またはエラーを見つけた場合、GitHub はリポジトリにアラートを表示します。 アラートを引き起こしたコードを修正すると、GitHubはそのアラートを閉じます。 詳しくは、「リポジトリのコード スキャンのアラートを管理する」を参照してください。

リポジトリまたは Organization をまたいで code scanning による結果を監視するには、webhooks や code scanning API を使用できます。 code scanning の Webhook の詳細については、「Webhook のイベントとペイロード」を参照してください。 API エンドポイントについては、「Code Scanning」をご覧ください。

code scanning の使用を開始するには、「About code scanning」を参照してください。

code scanning のツールについて

GitHub またはサードパーティ製 code scanning ツールによって保守されている CodeQL 製品を使うように code scanning を構成することができます。

CodeQL の分析について

CodeQL は、セキュリティ チェックを自動化するために GitHub が開発した、コード分析エンジンです。 CodeQL を使用してコードを分析し、結果を code scanning アラートとして表示することができます。CodeQL の詳細については、「CodeQL によるコード スキャンについて」を参照してください。

サードパーティのcode scanningツールについて

Code scanning は、SARIF (Static Analysis Results Interchange Format) データを出力するサードパーティのコード スキャンニング ツールと相互運用できます。 SARIFはオープン標準です。 詳しくは、「Code scanningの SARIF サポート」を参照してください。

Actionsを使ってGitHub Enterprise Server内で、あるいは外部のCIシステム内でサードパーティの分析ツールを実行できます。 詳細については、「About code scanning」または「SARIF ファイルを GitHub にアップロードする」を参照してください。