Skip to main content

코드 검사 정보

code scanning을 사용하여 GitHub의 프로젝트 코드에서 보안 취약성 및 오류를 찾을 수 있습니다.

누가 이 기능을 사용할 수 있나요?

GitHub Advanced Security을(를) 사용하도록 설정된 조직 소유 리포지토리

Note

사이트 관리자가 먼저 code scanning을 사용하도록 설정해야 이 기능을 사용할 수 있습니다. 자세한 내용은 "어플라이언스에 대한 코드 검사 구성"을(를) 참조하세요.

엔터프라이즈 소유자가 엔터프라이즈 수준에서 GitHub Advanced Security 정책을 설정한 경우 code scanning을(를) 사용하거나 사용하지 않도록 설정할 수 없습니다. 자세한 내용은 "엔터프라이즈에 대한 코드 보안 및 분석을 위한 정책 적용"을(를) 참조하세요.

Code scanning는 GitHub 리포지토리의 코드를 분석하여 보안 취약성 및 코딩 오류를 찾는 데 사용하는 기능입니다. 분석으로 식별되는 모든 문제는 리포지토리에 표시됩니다.

code scanning을(를) 사용하여 코드에서 기존 문제에 대한 수정 사항을 찾고, 심사하고, 우선 순위를 지정할 수 있습니다. Code scanning은(는) 개발자가 새로운 문제를 발생시키는 것도 방지합니다. 특정 날짜 및 시간에 검사를 예약하거나 푸시처럼 리포지토리에 특정 이벤트가 발생하는 경우 검색을 트리거할 수 있습니다.

code scanning이(가) 코드에서 잠재적 취약성 또는 오류를 발견하면 GitHub이(가) 리포지토리에 경고를 표시합니다. 경고를 트리거한 코드를 수정하면 GitHub이(가) 경고를 닫습니다. 자세한 내용은 "코드 검사 경고 해결"을(를) 참조하세요.

리포지토리 또는 조직에서 code scanning의 결과를 모니터링하려면 웹후크 및 code scanning API를 사용할 수 있습니다. code scanning의 웹후크에 대한 자세한 정보는 "웹후크 이벤트 및 페이로드"을 참조하세요. API 엔드포인트에 대한 자세한 정보는 "코드 검색에 대한 REST API 엔드포인트"을 참조하세요.

code scanning로 시작하려면 "코드 스캔을 위한 기본 설정 구성"을 참조하세요.

code scanning에 대한 도구 정보

GitHub에서 유지 관리하는 CodeQL 제품 또는 제3자 code scanning 도구를 사용하도록 code scanning을 설정할 수 있습니다.

CodeQL 분석 정보

CodeQL은 보안 검사를 자동화하기 위해 GitHub에서 개발한 코드 분석 엔진입니다. CodeQL을 사용하여 코드를 분석하고 결과를 code scanning 경고로 표시할 수 있습니다. CodeQL에 대한 자세한 정보는 "CodeQL을 사용하는 코드 검사 안내"을 참조하세요.

타사 code scanning 도구 정보

Code scanning는 SARIF(정적 분석 결과 교환 형식) 데이터를 출력하는 타사 코드 검색 도구와 상호 운용할 수 있습니다. SARIF는 개방형 표준입니다. 자세한 내용은 "코드 검사에 대한 SARIF 지원"을(를) 참조하세요.

작업을 사용하거나 외부 CI 시스템 내에서 GitHub Enterprise Server 내의 타사 분석 도구를 실행할 수 있습니다. 자세한 정보는 "코드 스캔을 위한 고급 설정 구성" 또는 "GitHub에 SARIF 파일 업로드"을 참조하세요.

도구 상태 페이지 정보

도구 상태 페이지은(는) 모든 코드 스캔 도구에 대한 유용한 정보를 표시합니다. 코드 검색이 예상대로 작동하지 않는 경우 도구 상태 페이지은(는) 디버깅 문제를 위한 좋은 출발점입니다. 자세한 내용은 "코드 스캔을 위한 도구 상태 페이지 정보" 항목을 참조하세요.