code scanning について
Code scanning は、開発者が GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディングエラーを見つけることができる機能です。 分析によって特定されたすべての問題はGitHubに表示されます。
code scanning を使用して、コード内の既存の問題の修正を検索し、トリアージして、優先順位を付けることができます。 また、Code scanning は、開発者による新しい問題の発生も防ぎます。 スキャンを特定の日時にスケジュールしたり、プッシュなどの特定のイベントがリポジトリで発生したときにスキャンをトリガーしたりすることができます。
code scanning がコードに潜在的な脆弱性またはエラーを見つけた場合、GitHub はリポジトリにアラートを表示します。 アラートを引き起こしたコードを修正すると、GitHubはそのアラートを閉じます。 詳しい情報については、「リポジトリの code scanning アラートを管理する」を参照してください。
リポジトリまたは Organization をまたいで code scanning による結果を監視するには、webhooks や code scanning API を使用できます。 code scanning 用の webhook に関する詳しい情報については、「Webhook イベントとペイロード」を参照してください。 API に関する情報については、 「Code scanning」を参照してください。
code scanning を始めるには、「リポジトリに対する code scanning を設定する」を参照してください。
code scanningの支払いについて
Code scanning は GitHub Actions を使用し、code scanning ワークフローの実行ごとに GitHub Actions に数分かかります。 詳しい情報については、「GitHub Actionsの支払いについて」を参照してください。
About tools for code scanning
You can set up code scanning to use the CodeQL product maintained by GitHub or a third-party code scanning tool.
About CodeQL analysis
CodeQL is the code analysis engine developed by GitHub to automate security checks. You can analyze your code using CodeQL and display the results as code scanning alerts. For more information about CodeQL, see "About code scanning with CodeQL."
サードパーティのcode scanningツールについて
Code scanningは、Static Analysis Results Interchange Format (SARIF) データを出力するサードパーティのコードスキャンニングツールと相互運用できます。 SARIFはオープン標準です。 詳しい情報については「code scanningのためのSARIF出力」を参照してください。
Actionsを使ってGitHub内で、あるいは外部のCIシステム内でサードパーティの分析ツールを実行できます。 詳しい情報については「リポジトリのCode scanningのセットアップ」あるいは「SARIFファイルのGitHubへのアップロード」を参照してください。