👋 We've unified all of GitHub's product documentation in one place! Check out the content for REST API, GraphQL API, and Developers. Stay tuned for a blog post later today.


ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

コードスキャンからのアラートを管理する

プロジェクトのコードの潜在的な脆弱性またはエラーのアラートを表示、修正、およびクローズすることができます。

リポジトリへの書き込み権限を持つユーザは、リポジトリの code scanning アラートを管理できます。

ここには以下の内容があります:

探していたものは見つけられましたか?

ノート: Code scanningは現在ベータで、変更されることがあります。 ベータへのアクセスをリクエストするには、待ちリストに参加してください。

code scanning からのアラートについて

CodeQL を使用してコードをスキャンするか、静的分析ツールから code scanning の結果をアップロードすると、GitHub はリポジトリにアラートを表示します。

アラートは、セキュリティの脆弱性またはエラーを含む可能性のあるコードを示します。 各アラートはコードの問題を強調表示し、問題の修正方法に関する情報を提供します。 アラートをトリガーしたコード行と、アラートのプロパティ(問題の重要度や性質など)を確認できます。 アラートは、問題が最初に発生したときにも通知します。

code scanning からのアラートの例

アラートが推奨するアクションを実行しない場合は、アラートを手動で閉じることができます。 たとえば、テストに使用されるコードのアラートを閉じたり、アラートが誤検知であると思われる場合に閉じたりすることができます。 コーディングエラーを修正する手間がコードを改善する潜在的な利点よりも上回る場合は、アラートを閉じることもできます。

デフォルトでは、GitHub はデフォルトブランチと保護されたブランチのアラートを表示します。 アラートのリストをソートおよびフィルタして、関連するアラートのみを表示できます。

プルリクエストで発生したアラートを確認して、すぐに対処できます。 code scanning がプルリクエストで脆弱性またはエラーを検出すると、GitHub は、プルリクエストのタイムラインと差分ビューに注釈を表示します。

Code scanning は、コード内のデータフローの問題も報告します。 データフロー分析は、安全でない方法で使用されているデータ、危険な引数が関数に渡されるコード領域、機密情報の漏洩のリスクなど、コードベースの潜在的なセキュリティの問題を検出します。

code scanning がデータフローアラートを報告すると、GitHub はデータがコードを通してどのように移動するかを示します。 Code scanning を使用すると、機密情報を漏洩し、悪意のあるユーザによる攻撃の入り口になる可能性があるコードの領域を特定できます。

サードパーティの静的解析ツールからGitHubにSARIFファイルをアップロードし、リポジトリ内でそれらのツールからのcode scanningアラートを見ることができます。 始めるには、「GitHubへのSARIFファイルのアップロード」を参照してください。

サードパーティツールから SARIF ファイルをアップロードするか、カスタム CodeQL クエリでコードをスキャンすると、GitHub はサポートされている SARIF 2.1.0 プロパティのみを使用してアラートを表示します。 サードパーティツールまたはカスタムクエリの結果には、GitHub のデフォルトの CodeQL クエリを使用してコードをスキャンしたときに表示されるすべてのプロパティが含まれていない場合があります。 詳しい情報については「code scanningの SARIF サポート」を参照してください。

アラートを表示する

  1. GitHubで、リポジトリのメインページにアクセスしてください。
  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。
    セキュリティのタブ
  3. 左のサイドバーで、Code scanning alerts(コードスキャンニングアラート)をクリックしてください。 あるいは、利用しているコードスキャンニングツールを選択してください。
    "コードスキャンニングアラート"タブ
  4. "Code scanning(コードスキャンニング)"の下で、表示させたいアラートをクリックしてください。
    code scanningからのアラートのリスト
  5. 必要に応じて、アラートでデータフローの問題が強調表示された場合は、[Show paths] をクリックしてデータのパスを確認します。
    データフローアラートの例

アラートを閉じる

  1. GitHubで、リポジトリのメインページにアクセスしてください。
  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。
    セキュリティのタブ
  3. 左のサイドバーで、Code scanning alerts(コードスキャンニングアラート)をクリックしてください。 あるいは、利用しているコードスキャンニングツールを選択してください。
    "コードスキャンニングアラート"タブ
  4. "Code scanning(コードスキャンニング)"の下で、表示させたいアラートをクリックしてください。
    code scanningからのアラートのリスト
  5. [Close] ドロップダウンを使用して、アラートを閉じる理由をクリックします。
    [Close] ドロップダウンでアラートを閉じる理由を選択する

参考リンク

探していたものは見つけられましたか?

担当者にお尋ねください

探しているものが見つからなかったでしょうか?

弊社にお問い合わせください