Skip to main content

Сведения о проверке кода

Вы можете использовать code scanning, чтобы найти уязвимости системы безопасности и ошибки в коде проекта в GitHub.

Кто может использовать эту функцию?

Репозитории, принадлежащие организации, с включенными GitHub Advanced Security

Примечание. Администратор сайта должен включить code scanning, прежде чем использовать эту функцию. Дополнительные сведения см. в разделе Настройка сканирования кода для устройства.

Возможно, вы не сможете включить или отключить code scanning , если владелец предприятия установил политику GitHub Advanced Security (GHAS) на корпоративном уровне. Дополнительные сведения см. в разделе Применение политик безопасности кода и анализа для вашего предприятия.

Code scanning — это функция, используемая для анализа кода в репозитории GitHub для поиска уязвимостей системы безопасности и ошибок кодирования. Все проблемы, выявленные анализом, отображаются в репозитории.

Вы можете использовать code scanning для поиска, рассмотрения и ранжирования проблем, существующих в вашем коде. Code scanning также запрещает разработчикам вводить новые проблемы. Вы можете запланировать сканирование на определенные дни и время или запускать его при возникновении определенного события в репозитории, например принудительной отправки.

Если code scanning обнаруживает в вашем коде потенциальную уязвимость или ошибку, GitHub отображает оповещение в репозитории. Как только вы внесете исправления в соответствующий код, GitHub закроет оповещение. Дополнительные сведения см. в разделе Разрешение оповещений сканирования кода.

Чтобы отслеживать результаты из code scanning в репозиториях или организации, можно использовать веб-перехватчики и API code scanning. Сведения о веб-перехватчиках для code scanningсм. в разделе "События и полезные данные веб-перехватчика". Сведения о конечных точках API см. в разделе "Конечные точки REST API для сканирования кода".

Сведения о начале работы с code scanningсм. в разделе "Настройка настройки по умолчанию для сканирования кода".

Сведения о средствах для code scanning

Можно настроить code scanning для использования продукта CodeQL, поддерживаемого GitHub или сторонним средством code scanning .

Сведения об анализе CodeQL

CodeQL — это система анализа кода, разработанная GitHub для автоматизации проверок безопасности. Код можно проанализировать, используя CodeQL, и отобразить результаты в виде оповещений code scanning. Дополнительные сведения о CodeQLсм. в разделе "О проверке кода с помощью CodeQL".

О сторонних средствах для code scanning

Code scanning взаимодействует с сторонними средствами сканирования кода, которые выводит данные формата обмена статическими результатами анализа (SARIF). SARIF — это открытый стандарт. Дополнительные сведения см. в разделе Поддержка SARIF для проверки кода.

Сторонние средства анализа можно запускать в GitHub Enterprise Server, используя действия, и во внешней системе CI. Дополнительные сведения см. в разделе "[AUTOTITLE" илиНастройка расширенной настройки для сканирования кода](/code-security/code-scanning/integrating-with-code-scanning/uploading-a-sarif-file-to-github)".

О Страница состояния средства

В Страница состояния средства отображаются полезные сведения обо всех средствах сканирования кода. Если сканирование кода не работает должным образом, то Страница состояния средства является хорошей отправной точкой для отладки проблем. Дополнительные сведения см. в разделе "Сведения о странице состояния средства для сканирования кода".