Skip to main content

关于与代码扫描的集成

可以在外部执行 code scanning,然后在 GitHub 中显示结果,或者配置侦听存储库中 code scanning 活动的 Webhook。

Code scanning 可用于 GitHub.com 上的所有公共存储库。 若要在组织拥有的专用存储库中使用 code scanning,必须具有 GitHub Advanced Security 许可证。 有关详细信息,请参阅“关于 GitHub 高级安全性”。

作为在 GitHub 中运行 code scanning 的替代方法,您可以在其他地方执行分析,然后上传结果。 在外部运行的 code scanning 的警报显示方式与在 GitHub 内运行的 code scanning 的警报显示方式相同。 有关详细信息,请参阅“管理存储库的代码扫描警报”。

如果使用可生成结果为静态分析结果交换格式 (SARIF) 2.1.0 数据的第三方静态分析工具,您可以将其上传到 GitHub。 有关详细信息,请参阅“将 SARIF 文件上传到 GitHub”。

如果使用多个配置运行代码扫描,则有时多个配置会生成相同的警报。 如果警报来自多个配置,你可在警报页上查看每个配置的警报状态。 有关详细信息,请参阅“关于代码扫描警报”。

与 web 挂钩集成

可以使用 code scanning Webhook 构建或配置集成,例如 GitHub AppsOAuth apps,以订阅存储库中的 code scanning 事件。 例如,可以构建在 GitHub Enterprise Cloud 上创建问题,或者在存储库中新增 code scanning 警报时向你发送 Slack 通知的集成。 有关详细信息,请参阅“创建 web 挂钩”和“Webhook 事件和有效负载”。

延伸阅读