Code scanningと統合する
データを SARIF ファイルとしてアップロードすることで、サードパーティーのコード解析ツールをGitHub code scanning と統合できます。
Code scanning は、GitHub AE の Organization 所有のリポジトリで利用できます。 これは GitHub Advanced Security の機能です (ベータ リリース中は無料)。 詳しくは、「GitHub Advanced Security について」を参照してください。
Code scanningとのインテグレーションについて
code scanning を外部で実行し、その結果を GitHub で表示できます。または、リポジトリで code scanning アクティビティをリッスンする Webhook を構成することもできます。
既存の CI システムでコード スキャンを使用する
CodeQL CLI またはサード パーティの継続的インテグレーション システムの別のツールを使用してコードを分析し、結果を ご自分のエンタープライズ にアップロードできます。 結果のcode scanningアラートは、GitHub AE内で生成されたアラートとともに表示されます。
SARIF ファイルを GitHub にアップロードする
サードパーティの静的解析ツールからGitHubにSARIFファイルをアップロードし、リポジトリ内でそれらのツールからのcode scanningアラートを見ることができます。
Code scanningの SARIF サポート
GitHub のリポジトリにあるサードパーティの静的分析ツールからの結果を表示するには、code scanning 用に SARIF 2.1.0 JSON スキーマの特定のサブセットをサポートする SARIF ファイルに結果を保存する必要があります。 デフォルトの CodeQL 静的分析エンジンを使用すると、結果は GitHub のリポジトリに自動的に表示されます。