Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы, возможно, еще выполняется. Актуальные сведения см. в документации на английском языке.
All products
Безопасность кода

Сведения о проверке кода

Выполнение проверки кода с помощью GitHub Actions1 из 6 в схеме обучения
Следующая:Настройка проверки кода для репозитория

В этой статье

Вы можете использовать code scanning, чтобы найти уязвимости системы безопасности и ошибки в коде проекта в GitHub.

Code scanning доступен для всех общедоступных репозиториев в GitHub.com. Code scanning также доступен для частных репозиториев, принадлежащих организациям, которые используют GitHub Enterprise Cloud и имеют лицензию на GitHub Advanced Security. Дополнительные сведения см. в разделе Сведения о GitHub Advanced Security.

Сведения о code scanning

Code scanning — это функция, используемая для анализа кода в репозитории GitHub для поиска уязвимостей системы безопасности и ошибок кодирования. Все проблемы, обнаруженные в результате анализа, отображаются в GitHub.

Вы можете использовать code scanning для поиска, рассмотрения и ранжирования проблем, существующих в вашем коде. Code scanning также не позволяет разработчикам создавать новые проблемы. Вы можете запланировать сканирование на определенные дни и время или запускать его при возникновении определенного события в репозитории, например принудительной отправки.

Если code scanning обнаруживает в вашем коде потенциальную уязвимость или ошибку, GitHub отображает оповещение в репозитории. Как только вы внесете исправления в соответствующий код, GitHub закроет оповещение. Дополнительные сведения см. в разделе Управление оповещениями проверки кода для репозитория.

Чтобы отслеживать результаты из code scanning в репозиториях или организации, можно использовать веб-перехватчики и API code scanning. Сведения о веб-перехватчиках для code scanning см. в разделе События и полезные данные веб-перехватчика. Сведения о конечных точках API см. в разделе Проверка кода.

Чтобы приступить к работе с code scanning, см. раздел Настройка проверки кода для репозитория.

Сведения о выставлении счетов за code scanning

Code scanning использует GitHub Actions, и каждое выполнение рабочего процесса code scanning занимает минуты для GitHub Actions. Дополнительные сведения см. в разделе Сведения о выставлении счетов за GitHub Actions.

Сведения о средствах для code scanning

Вы можете настроить code scanning для использования продукта CodeQL, поддерживаемого GitHub или стороннего средства code scanning.

Сведения об анализе CodeQL

CodeQL — это система анализа кода, разработанная GitHub для автоматизации проверок безопасности. Код можно проанализировать, используя CodeQL, и отобразить результаты в виде оповещений code scanning. Дополнительные сведения о CodeQL см. в разделе О проверке кода с помощью CodeQL.

О сторонних средствах для code scanning

Code scanning совместим со сторонними средствами сканирования кода, которые выводить данные формата SARIF. SARIF — это открытый стандарт. Дополнительные сведения см. в разделе Поддержка SARIF для проверки кода.

Сторонние средства анализа можно запускать в GitHub, используя действия, и во внешней системе CI. Дополнительные сведения см. в разделе Настройка проверки кода для репозитория или Отправка файла SARIF в GitHub.

СледующаяНастройка проверки кода для репозитория