Skip to main content

与代码扫描集成

您可以通过将数据上传为 SARIF 文件来集成第三方代码分析工具与 GitHub code scanning。

Code scanning 可用于 GitHub AE 中的组织拥有的存储库。 这是一项 GitHub Advanced Security 功能(在 beta 版本发行期间免费)。 有关详细信息,请参阅“关于 GitHub Advanced Security”。

  • 关于与代码扫描的集成

    可以在外部执行 code scanning,然后在 GitHub 中显示结果,或者配置侦听存储库中 code scanning 活动的 Webhook。

  • 将 SARIF 文件上传到 GitHub

    您可以将 SARIF 文件从第三方静态分析工具上传到 GitHub,并且在仓库中看到 code scanning 来自这些工具的警报。

  • 对代码扫描的 SARIF 支持

    要在 GitHub 上的仓库中显示第三方静态分析工具的结果,您需要将结果存储在 SARIF 文件中,以支持用于 code scanning 的 SARIF 2.1.0 JSON 架构的特定子集。 如果使用默认 CodeQL 静态分析引擎,结果将自动显示于您在 GitHub 上的仓库中。