Интеграция со сканированием кода

Вы можете интегрировать сторонние средства анализа кода с GitHub code scanning путем отправки данных в виде SARIF-файлов.

Кто эту функцию можно использовать?

Code scanning доступен для всех общедоступных репозиториев на GitHub.com. Чтобы использовать code scanning в частном репозитории, принадлежащем организации, необходима лицензия на GitHub Advanced Security. Дополнительные сведения см. в разделе Сведения о GitHub Advanced Security.

Сведения об интеграции со сканированием кода

Вы можете выполнить code scanning, а затем отобразить результаты в GitHub, или настроить веб-перехватчики, которые прослушивают действие code scanning в репозитории.

Использование сканирования кода с существующей системой CI

Вы можете проанализировать код с помощью CodeQL CLI или другого средства в сторонней системе непрерывной интеграции и передать результаты в GitHub.com. Полученные оповещения code scanning отображаются вместе с любыми другими оповещениями, которые создаются в GitHub Enterprise Cloud.

Отправка файла SARIF в GitHub

Вы можете отправлять файлы SARIF, созданные за пределами GitHub, и просматривать оповещения code scanning, полученные от сторонних инструментов в репозитории.

Поддержка SARIF для проверки кода

Чтобы отобразить результаты стороннего средства статического анализа в вашем репозитории в GitHub, необходимо хранить результаты в файле SARIF, поддерживающем конкретное подмножество схемы JSON SARIF 2.1.0 для code scanning. Если вы используете подсистему статического анализа CodeQL, результаты будут автоматически отображаться в репозитории на сайте GitHub.