与代码扫描集成
您可以通过将数据上传为 SARIF 文件来集成第三方代码分析工具与 GitHub code scanning。
谁可以使用此功能?
Code scanning 可用于以下存储库类型:
- GitHub.com 上的公共存储库
- 启用了 GitHub Advanced Security 的 GitHub Enterprise Cloud 上的组织拥有的存储库
关于与代码扫描的集成
可以在外部执行 code scanning,然后在 GitHub 中显示结果,或者配置侦听存储库中 code scanning 活动的 Webhook。
在现有 CI 系统上使用代码扫描
可以在第三方持续集成系统中用 CodeQL CLI 或其他工具分析代码,并将结果上传到 GitHub。 由此产生的 code scanning 警报与 GitHub 内生成的任何警报一起显示。
将 SARIF 文件上传到 GitHub
您可以将 SARIF 文件从第三方静态分析工具上传到 GitHub,并且在仓库中看到 code scanning 来自这些工具的警报。
对代码扫描的 SARIF 支持
要在 GitHub 上的仓库中显示第三方静态分析工具的结果,您需要将结果存储在 SARIF 文件中,以支持用于 code scanning 的 SARIF 2.1.0 JSON 架构的特定子集。 如果使用默认 CodeQL 静态分析引擎,结果将自动显示于您在 GitHub 上的仓库中。