現在、GitHub AE は限定的リリースです。

CIシステムでのCodeQL Code scanningについて

この記事の内容

サード パーティの継続的インテグレーション システムで CodeQL を使ってコードを分析し、結果を ご自分のエンタープライズ にアップロードできます。 結果のcode scanningアラートは、GitHub AE内で生成されたアラートとともに表示されます。

Code scanning は、GitHub AE の Organization 所有のリポジトリで利用できます。 これは GitHub Advanced Security の機能です (ベータ リリース中は無料)。 詳しくは、「GitHub Advanced Security について」を参照してください。

CIシステムでのCodeQL code scanningについて

Code scanning は、GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディング エラーを見つけることができる機能です。 分析によって特定されたすべての問題はGitHub AEに表示されます。 詳しくは、「About code scanning with CodeQL」をご覧ください。

CodeQL code scanningをGitHub AE内で、GitHub Actionsを使って実行できます。 または、サードパーティの継続的インテグレーションや継続的デリバリー/デプロイ (CI/CD) システムを使用している場合は、CodeQL の分析を既存のシステム上で実行し、その結果を ご自分のエンタープライズ にアップロードできます。

CodeQL CLIをサードパーティのシステムに追加して、コードを分析するツールを呼び、SARIFの結果をGitHub AEにアップロードしてください。 結果のcode scanningアラートは、GitHub AE内で生成されたアラートとともに表示されます。

複数の構成を使用してコード スキャンを実行すると、アラートに複数の分析元が含まれることがあります。 アラートに複数の分析元がある場合、各分析元でのアラートの状態を、[アラート] ページに表示することができます。 詳しくは、「Code scanningアラートについて」を参照してください。

注: GitHub AE の結果の code scanning として表示する SARIF データをアップロードすることは、GitHub Advanced Security が有効にされた組織が所有するリポジトリ。 詳しくは、「リポジトリのセキュリティと分析設定を管理する」を参照してください。

CodeQL CLI について

CodeQL CLI は、コードの分析に使うことができるスタンドアロンのコマンドライン ツールです。 その主な目的は、コードベースのデータベース表現であるCodeQLデータベースを生成することです。 データベースの準備ができたら、それに対して対話形式でクエリを実行することや、一連のクエリを実行して SARIF 形式で結果セットを生成し、結果を ご自分のエンタープライズ にアップロードすることができます。

以下の分析にはCodeQL CLIを使ってください:

  • たとえばJavaScriptやPythonのような動的言語。
  • コンパイル済みの言語 (C/C++、C#、Java など)。
  • 複数言語を組み合わせて書かれたコードベース。

詳しくは、「CIシステムへのCodeQL CLIのインストール」を参照してください。

メモ:

  • CodeQL CLI は、Advanced Security のライセンスを持つ顧客が使うことができます。

  • CodeQL CLI は現在、glibc 以外の Linux ディストリビューション ((musl ベースの) Alpine Linux など) との互換性がありません。