与代码扫描集成
您可以通过将数据上传为 SARIF 文件,将第三方代码分析工具与 GitHub 代码扫描集成。
谁可以使用此功能?
代码扫描适用于以下代码库类型
- GitHub.com 上的公共代码库。
- 启用了 GitHub 高级安全 的 GitHub Enterprise Cloud 上的组织拥有的代码库。
关于与代码扫描的集成
您可以外部执行代码扫描,然后在 GitHub 中显示结果,或者配置侦听代码库中代码扫描活动的 Webhook。
将代码扫描与现有 CI 系统一起使用
您可以使用 CodeQL CLI 或第三方持续集成系统中的其他工具分析您的代码,并将结果上传到 GitHub。生成的代码扫描警报将与在 GitHub 中生成的任何警报一起显示。
将 SARIF 文件上传到 GitHub
您可以上传在 GitHub 外部生成的 SARIF 文件,并在代码库中查看来自第三方工具的代码扫描警报。
代码扫描的 SARIF 支持
要在 GitHub 上的代码库中显示来自第三方静态分析工具的结果,您需要将结果存储在支持代码扫描的 SARIF 2.1.0 JSON 架构特定子集的 SARIF 文件中。如果您使用默认的 CodeQL 静态分析引擎,则您的结果将自动显示在 GitHub 上的代码库中。