メモ
この機能を使用するには、サイト管理者が code scanning を有効にする必要があります。 詳しくは、「アプライアンス用コードスキャンの構成」をご覧ください。
Enterprise の所有者が Enterprise レベルで GitHub Code Security ポリシーを設定している場合、code scanning を有効または無効にできない場合があります。 詳しくは、「エンタープライズのコード セキュリティと分析のためのポリシーの適用」をご覧ください。
Code scanning は、GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディング エラーを見つけることができる機能です。 分析によって特定された問題は、リポジトリに表示されます。
code scanningを使用して、コード内の既存の問題に対する修正プログラムの検索、トリアージ、優先順位付けを行うことができます。
Code scanning また、開発者が新しい問題を導入することもできなくなります。 特定の日付と時刻でのスキャンをスケジュールしたり、プッシュなどの特定のイベントがリポジトリで発生したときにスキャンをトリガーしたりできます。
コード code scanning 潜在的な脆弱性またはエラーが見つかると、 GitHub リポジトリにアラートが表示されます。 アラートをトリガーしたコードを修正した後、 GitHub アラートを閉じます。 詳しくは、「コード スキャン アラートを解決する」をご覧ください。
リポジトリまたは組織全体の code scanning からの結果を監視するには、webhook と code scanning API を使用できます。 code scanningの Webhook の詳細については、Webhook のイベントとペイロード を参照してください。 API エンドポイントについては、「コード スキャン用の REST API エンドポイント」を参照してください。
code scanningの使用を開始するには、[AUTOTITLE](/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning) を参照してください。
code scanningのためのツールについて
code scanningまたはサードパーティのCodeQL ツールによって管理されているGitHub製品を使用するようにcode scanningを構成できます。
CodeQL分析について
CodeQL は、セキュリティ チェックを自動化するために GitHub が開発した、コード分析エンジンです。 CodeQL を使用してコードを分析し、結果を code scanning アラートとして表示することができます。
CodeQLの詳細については、「[AUTOTITLE](/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning-with-codeql)」を参照してください。
サード パーティ製 code scanning ツールについて
Code scanning は、SARIF (Static Analysis Results Interchange Format) データを出力するサードパーティのコード スキャンニング ツールと相互運用できます。 SARIFはオープン標準です。 詳しくは、「Code scanningの SARIF サポート」をご覧ください。
アクションを使用して、または外部 CI システム内で、 GitHub 内でサードパーティの分析ツールを実行できます。 詳細については、「コード スキャンの詳細設定を構成する」または「SARIF ファイルを GitHub にアップロードする」を参照してください。
ツールの状態ページ について
ツールの状態ページには、すべてのコード スキャン ツールに関する有用な情報が表示されます。 コード スキャンが期待どおりに動作しない場合、 ツールの状態ページ は問題をデバッグするための出発点として適しています。 詳しくは、「[AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/about-the-tool-status-page)」をご覧ください。