Skip to main content

코드 검사 정보

code scanning을 사용하여 GitHub의 프로젝트 코드에서 보안 취약성 및 오류를 찾을 수 있습니다.

누가 이 기능을 사용할 수 있나요?

Code scanning는 GitHub.com의 모든 퍼블릭 리포지토리에 사용할 수 있습니다. Code scanning는 또한 GitHub Enterprise Cloud를 사용하고 GitHub Advanced Security에 대한 라이선스가 있는 조직이 소유한 프라이빗 리포지토리에서 사용할 수 있습니다. 자세한 내용은 "GitHub Advanced Security 정보"을(를) 참조하세요.

Code scanning는 GitHub 리포지토리의 코드를 분석하여 보안 취약성 및 코딩 오류를 찾는 데 사용하는 기능입니다. 분석으로 식별되는 모든 문제는 리포지토리에 표시됩니다.

code scanning을(를) 사용하여 코드에서 기존 문제에 대한 수정 사항을 찾고, 심사하고, 우선 순위를 지정할 수 있습니다. Code scanning은(는) 개발자가 새로운 문제를 발생시키는 것도 방지합니다. 특정 날짜 및 시간에 검사를 예약하거나 푸시처럼 리포지토리에 특정 이벤트가 발생하는 경우 검색을 트리거할 수 있습니다.

code scanning이(가) 코드에서 잠재적 취약성 또는 오류를 발견하면 GitHub이(가) 리포지토리에 경고를 표시합니다. 경고를 트리거한 코드를 수정하면 GitHub이(가) 경고를 닫습니다. 자세한 내용은 "Resolving code scanning alerts"을(를) 참조하세요.

GitHub Copilot Autofix는 프라이빗 리포지토리에서 CodeQL 분석의 경고에 대한 수정 사항을 제안하므로 개발자는 더 적은 노력으로 취약성을 방지하고 줄일 수 있습니다. 자세한 정보는 "Responsible use of Copilot Autofix for code scanning"을(를) 참조하세요.

리포지토리 또는 조직에서 code scanning의 결과를 모니터링하려면 웹후크 및 code scanning API를 사용할 수 있습니다. code scanning의 웹후크에 대한 자세한 정보는 "웹후크 이벤트 및 페이로드"을 참조하세요. API 엔드포인트에 대한 자세한 정보는 "코드 검색에 대한 REST API 엔드포인트"을 참조하세요.

code scanning로 시작하려면 "코드 스캔을 위한 기본 설정 구성"을 참조하세요.

code scanning에 대한 청구 정보

Code scanning은(는) GitHub Actions을(를) 사용하며, code scanning 워크플로를 실행할 때마다 GitHub Actions에 몇 분이 걸립니다. 자세한 내용은 "About billing for GitHub Actions"을(를) 참조하세요.

프라이빗 리포지토리에서 code scanning을(를) 사용하려면 GitHub Advanced Security에 대한 라이선스도 있어야 합니다. GitHub Enterprise 및 GitHub Advanced Security을(를) 무료로 사용해 보는 방법에 대한 자세한 내용은 GitHub Enterprise Cloud 설명서에서 "GitHub Enterprise Cloud 평가판 설치" 및 "Setting up a trial of GitHub Advanced Security"을 참조하세요.

code scanning에 대한 도구 정보

GitHub에서 유지 관리하는 CodeQL 제품 또는 제3자 code scanning 도구를 사용하도록 code scanning을(를) 설정할 수 있습니다.

CodeQL 분석 정보

CodeQL은 보안 검사를 자동화하기 위해 GitHub에서 개발한 코드 분석 엔진입니다. CodeQL을 사용하여 코드를 분석하고 결과를 code scanning 경고로 표시할 수 있습니다. CodeQL에 대한 자세한 정보는 "CodeQL을 사용하는 코드 검사 안내"을 참조하세요.

타사 code scanning 도구 정보

Code scanning는 SARIF(정적 분석 결과 교환 형식) 데이터를 출력하는 타사 코드 검색 도구와 상호 운용할 수 있습니다. SARIF는 개방형 표준입니다. 자세한 내용은 "코드 검사에 대한 SARIF 지원"을(를) 참조하세요.

작업을 사용하거나 외부 CI 시스템 내에서 GitHub 내의 타사 분석 도구를 실행할 수 있습니다. 자세한 정보는 "코드 스캔을 위한 고급 설정 구성" 또는 "GitHub에 SARIF 파일 업로드"을 참조하세요.

도구 상태 페이지 정보

도구 상태 페이지은(는) 모든 코드 스캔 도구에 대한 유용한 정보를 표시합니다. 코드 검색이 예상대로 작동하지 않는 경우 도구 상태 페이지은(는) 디버깅 문제를 위한 좋은 출발점입니다. 자세한 내용은 "코드 스캔을 위한 도구 상태 페이지 정보"을 참조하세요.