Skip to main content
ドキュメントへの更新が頻繁に発行されており、このページの翻訳はまだ行われている場合があります。 最新の情報については、「英語のドキュメント」を参照してください。
現在、GitHub AE は限定的リリースです。
All products
コードセキュリティ

github upload-results

この記事の内容

GitHub コード スキャンに SARIF ファイルをアップロードします。

GitHub CodeQL は、インストール時にユーザーごとにライセンスされます。 CodeQL は、ライセンスの制限の下で特定のタスクでのみ使用できます。 詳しくは、「CodeQL CLI について」を参照してください。

GitHub Advanced Security ライセンスがある場合は、CodeQL を使用して、自動分析、継続的インテグレーション、継続的デリバリーを行うことができます。 詳しくは、「GitHub Advanced Security について」を参照してください。

This content describes the most recent release of the CodeQL CLI. For more information about this release, see https://github.com/github/codeql-cli-binaries/releases.

To see details of the options available for this command in an earlier release, run the command with the --help option in your terminal.

構文

Shell
codeql github upload-results --sarif=<file> [--github-auth-stdin] [--github-url=<url>] [--repository=<repository-name>] [--ref=<ref>] [--commit=<commit>] [--checkout-path=<path>] <options>...

説明

GitHub コード スキャンに SARIF ファイルをアップロードします。

https://docs.github.com/en/code-security/secure-coding/running-codeql-cli-in-your-ci-system#uploading-results-to-github を参照

GitHub Apps トークンまたは個人用アクセス トークンを設定する必要があります。 セキュリティのベスト プラクティスとして、--github-auth-stdin フラグを設定し、標準入力を介してトークンをコマンドに渡すことをお勧めします。 または、GITHUB_TOKEN 環境変数を設定することもできます。

このトークンには、security_events スコープが必要です。

主なオプション

-s, --sarif=<file>

[必須] アップロードする SARIF ファイルへのパス。 これは、github.com または GitHub AE へのアップロード用の --format sarif-latest を指定した codeql database analyze (または codeql database interpret-results) の出力、あるいは GitHub Enterprise Server インスタンスに適したサポートされている形式タグである必要があります (リリースに適した値については、https://docs.github.com/ を参照してください)。

-r, --repository=<repository-name>

アップロードのエンドポイントとして使用する GitHub リポジトリの所有者と名前 (github/octocat など)。 これを省略すると、CLI によってチェックアウト パスからの自動検出が試行されます。

-f, --ref=<ref>

分析された ref の名前。 この ref が pull request マージ コミットの場合は、refs/pulls/1234/merge または refs/pulls/1234/head を使用します (このコミットが PR の HEAD または MERGE コミットに対応するかどうかによって異なります)。 それ以外の場合は、refs/head/branch-name というブランチである必要があります。 省略すると、CLI によって、チェックアウト パスの現在のブランチからの自動設定が試行されます (存在する場合)。

-c, --commit=<commit>

分析されたコミットの SHA。 これを省略すると、CLI によって、チェックアウト パスからの自動検出が試行されます。

-p, --checkout-path=<path>

チェックアウト パス。 既定値は現在の作業ディレクトリです。

--merge

[詳細設定] 複数の SARIF ファイルを指定し、アップロードする前に単一のファイルにマージできるようにします。 これは、下位互換性のためにのみ推奨されます。 新しい分析では、カテゴリが異なる 2 つの別の SARIF ファイルをアップロードすることをお勧めします。 このオプションは、SARIF バージョン 2.1.0 (CodeQL で使用される SARIF の既定のバージョン) を使用して CodeQL によって生成された SARIF ファイルと組み合わせてのみ機能します。

--format=<fmt>

出力形式を選びます。 以下を選択できます。

text (既定値) : SARIF アップロードの状態を追跡するための URL を出力します。

json: SARIF アップロード API 要求の応答本文を出力します。

関連項目: https://docs.github.com/en/rest/reference/code-scanning#upload-an-analysis-as-sarif-data

SARIF ファイルをアップロードする場所を構成するためのオプション。

-a, --github-auth-stdin

標準入力を使用して、GitHub Apps トークンまたは個人用アクセス トークンを受け入れます。

これは、GITHUB_TOKEN 環境変数をオーバーライドします。

-g, --github-url=<url>

使用する GitHub インスタンスの URL。 省略した場合、CLI でチェックアウト パスからこれを自動検出することが試みられます。これができない場合は、既定で https://github.com/ になります

共通オプション

-h, --help

このヘルプ テキストを表示します。

-J=<opt>

[詳細設定] コマンドを実行している JVM にオプションを指定します。

(スペースを含むオプションは正しく処理されないことに注意してください)。

-v, --verbose

出力される進行状況メッセージの数を段階的に増やします。

-q, --quiet

出力される進行状況メッセージの数を段階的に減らします。

--verbosity=<level>

[詳細設定] 詳細レベルを、errors、warnings、progress、progress+、progress++、progress+++ のいずれかに明示的に設定します。 -v-q がオーバーライドされます。

--logdir=<dir>

[詳細設定] タイムスタンプと実行中のサブコマンドの名前を含む生成された名前を使用して、指定されたディレクトリ内の 1 つまたは複数のファイルに詳細なログを書き込みます。

(完全に制御できる名前でログ ファイルを書き込むには、代わりに --log-to-stderr を指定し、必要に応じて stderr をリダイレクトします)。