コード スキャンについて

          code scanningを使用して、GitHubのプロジェクトのコードでセキュリティの脆弱性とエラーを見つけることができます。

この機能を使用できるユーザーについて

Code scanning は、次のリポジトリの種類で使用できます。

  • GitHub.com 上のパブリックリポジトリ
  • GitHub Team、GitHub Enterprise Cloud、または GitHub Enterprise Server 上の組織所有リポジトリ。 GitHub Code Security が 有効になっています。

この記事で

Code scanning は、GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディング エラーを見つけることができる機能です。 分析によって特定された問題は、リポジトリに表示されます。

          code scanningを使用して、コード内の既存の問題に対する修正プログラムの検索、トリアージ、優先順位付けを行うことができます。 
          Code scanning また、開発者が新しい問題を導入することもできなくなります。 特定の日付と時刻でのスキャンをスケジュールしたり、プッシュなどの特定のイベントがリポジトリで発生したときにスキャンをトリガーしたりできます。

コード code scanning 潜在的な脆弱性またはエラーが見つかると、 GitHub リポジトリにアラートが表示されます。 アラートをトリガーしたコードを修正した後、 GitHub アラートを閉じます。 詳しくは、「コード スキャン アラートを解決する」をご覧ください。

          GitHub Copilot 自動修正 では、 code scanning 分析からのアラートの修正が提案され、開発者は少ない労力で脆弱性を防止および軽減できます。 詳しくは、「[AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/responsible-use-autofix-code-scanning)」をご覧ください。

リポジトリまたは組織全体の code scanning からの結果を監視するには、webhook と code scanning API を使用できます。 code scanningの Webhook の詳細については、Webhook のイベントとペイロード を参照してください。 API エンドポイントについては、「コード スキャン用の REST API エンドポイント」を参照してください。

          Code scanning は GitHub Actionsを使用し、各ワークフロー実行で GitHub Actions 分を消費します。 プライベート リポジトリで code scanning を使用する場合は、 GitHub Code Security ライセンスが必要です。 詳しくは、「[AUTOTITLE](/billing/managing-billing-for-github-actions/about-billing-for-github-actions)」をご覧ください。 GitHub Advanced Security で GitHub Enterprise を無料で試用する方法については、GitHub Enterprise Cloud ドキュメントの「[AUTOTITLE](/enterprise-cloud@latest/admin/overview/setting-up-a-trial-of-github-enterprise-cloud)」と「[AUTOTITLE](/enterprise-cloud@latest/billing/managing-billing-for-your-products/managing-billing-for-github-advanced-security/setting-up-a-trial-of-github-advanced-security#setting-up-your-trial-of-github-advanced-security)」を参照してください。

ライセンスを購入する前に脆弱性に対する組織の露出を評価する場合は、無料の code security risk assessmentを実行できます。 「コード セキュリティ リスク評価」を参照してください。

          code scanningの使用を開始するには、[AUTOTITLE](/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning) を参照してください。


          code scanningのためのツールについて

          code scanningまたはサードパーティのCodeQL ツールによって管理されているGitHub製品を使用するようにcode scanningを構成できます。


          CodeQL分析について

          CodeQL は、セキュリティ チェックを自動化するために GitHub が開発した、コード分析エンジンです。 CodeQL を使用してコードを分析し、結果を code scanning アラートとして表示することができます。
          CodeQLの詳細については、「[AUTOTITLE](/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning-with-codeql)」を参照してください。

サード パーティ製 code scanning ツールについて

Code scanning は、SARIF (Static Analysis Results Interchange Format) データを出力するサードパーティのコード スキャンニング ツールと相互運用できます。 SARIFはオープン標準です。 詳しくは、「Code scanningの SARIF サポート」をご覧ください。

アクションを使用して、または外部 CI システム内で、 GitHub 内でサードパーティの分析ツールを実行できます。 詳細については、「コード スキャンの詳細設定を構成する」または「SARIF ファイルを GitHub にアップロードする」を参照してください。

          ツールの状態ページ について

          ツールの状態ページには、すべてのコード スキャン ツールに関する有用な情報が表示されます。 コード スキャンが期待どおりに動作しない場合、 ツールの状態ページ は問題をデバッグするための出発点として適しています。 詳しくは、「[AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/about-the-tool-status-page)」をご覧ください。