Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы, возможно, еще выполняется. Актуальные сведения см. в документации на английском языке.

Сведения о проверке кода

В этой статье

Вы можете использовать code scanning, чтобы найти уязвимости системы безопасности и ошибки в коде проекта в GitHub.

Code scanning доступно во всех открытых репозиториях на GitHub.com. Code scanning также доступно в частных репозиториях, принадлежащих организациям, которые используют GitHub Enterprise Cloud и имеют лицензию на GitHub Advanced Security. Дополнительные сведения см. в разделе Сведения о GitHub Advanced Security.

Сведения о code scanning

Code scanning — это функция, применяемая для анализа кода в репозитории GitHub на предмет уязвимостей системы безопасности и ошибок кодирования. Все проблемы, обнаруженные в результате анализа, отображаются в GitHub.

Вы можете использовать code scanning для поиска, рассмотрения и ранжирования проблем, существующих в вашем коде. Code scanning также запрещает разработчикам вводить новые проблемы. Вы можете запланировать сканирование на определенные дни и время или запускать его при возникновении определенного события в репозитории, например принудительной отправки.

Если code scanning обнаруживает в вашем коде потенциальную уязвимость или ошибку, GitHub отображает оповещение в репозитории. Как только вы внесете исправления в соответствующий код, GitHub закроет оповещение. Дополнительные сведения см. в статье Управление оповещениями code scanning для репозитория.

Чтобы отслеживать результаты из code scanning в репозиториях или организации, можно использовать веб-перехватчики и API code scanning. Сведения о веб-перехватчиках для code scanning см. в статье События и полезные данные веб-перехватчиков. Дополнительные сведения о конечных точках API см. в статье Code scanning.

Чтобы приступить к работе с code scanning, см. раздел Настройка code scanning для репозитория.

Сведения о выставлении счетов за code scanning

Code scanning использует GitHub Actions, а каждый запуск рабочего процесса code scanning использует минуты для GitHub Actions. Дополнительные сведения см. в статье Сведения о выставлении счетов за GitHub Actions.

Сведения о средствах для code scanning

Вы можете настроить code scanning для использования продукта CodeQL, обслуживаемого GitHub или стороннего средства code scanning.

Сведения об анализе CodeQL

CodeQL — это система анализа кода, разработанная GitHub для автоматизации проверок безопасности. Код можно проанализировать, используя CodeQL, и отобразить результаты в виде оповещений code scanning. Дополнительные сведения о CodeQL см. в статье О проверке кода с помощью CodeQL.

О сторонних средствах для code scanning

Code scanning поддерживает взаимодействие со сторонними средствами проверки кода, которые выводят данные формата SARIF. SARIF — это открытый стандарт. Дополнительные сведения см. в разделе Выходные данные SARIF для code scanning.

Сторонние средства анализа можно запускать в GitHub, используя действия, и во внешней системе CI. Дополнительные сведения см. в разделах Настройка code scanning для репозитория или Отправка ФАЙЛА SARIF в GitHub.