コード スキャンの詳細設定を構成する

高度にカスタマイズ可能な code scanning 構成を使用して、リポジトリの高度なセットアップを構成して、コードのセキュリティの脆弱性を見つけることができます。

この機能を使用できるユーザーについて

リポジトリの所有者、組織の所有者、セキュリティ マネージャー、および 管理者 ロールを持つユーザー

Code scanning は、次のリポジトリの種類で使用できます。

  • GitHub.com 上のパブリックリポジトリ
  • GitHub Team、GitHub Enterprise Cloud、または GitHub Enterprise Server 上の組織所有リポジトリ。 GitHub Code Security が 有効になっています。

この記事で

高度にカスタマイズ可能な code scanning 構成が必要ない場合は、 code scanningの既定のセットアップを使用することを検討してください。 詳細については、「コード スキャンのセットアップの種類について」を参照してください。

前提条件

これらの要件を満たしている場合、リポジトリは詳細設定の対象となります。 * CodeQLサポートされている言語を使用するか、サード パーティ製ツールを使用してコード スキャン結果を生成する予定です。

  • GitHub Actions が有効になっています。
  • 一般公開されているか、GitHub Code Security が有効になっている。

          CodeQL を使用して code scanning の詳細設定を構成する

ワークフロー ファイルを作成および編集することで、 CodeQL 分析をカスタマイズできます。 詳細設定を選択すると、標準のワークフロー構文を使用してカスタマイズし、 CodeQL アクションのオプションを指定するための基本的なワークフロー ファイルが生成されます。 「ワークフロー」と「コード スキャンのワークフロー構成オプション」を参照してください。

アクションを使用して code scanning を実行すると、分が使用されます。 詳細については、「GitHub Actions の課金」を参照してください。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [Security] セクションで、[ Advanced Security] をクリックします。

  4. [Code Security] まで下にスクロールし、[CodeQL分析] 行で [セットアップ] を選択、[詳細設定] をクリックします。

    メモ

    既定のセットアップから高度なセットアップに切り替える場合は、[CodeQL 分析] 行で を選択し、[ 詳細設定に切り替える] をクリックします。 表示されたポップアップ ウィンドウで、[CodeQLを無効にする] をクリックします。

    [Advanced Security] 設定の [Code Security] セクションのスクリーンショット。 [詳細設定] ボタンがオレンジ色のアウトラインで強調されています。

  5.        code scanning がコードをスキャンする方法をカスタマイズするには、ワークフローを編集します。

    一般に、 CodeQL 分析ワークフロー に変更を加えずにコミットできます。 ただし、サード パーティのワークフローの多くでは、追加の構成が必要になるので、コミットする前にワークフローのコメントを読んでください。

    詳細については、「コード スキャンのワークフロー構成オプション」および「コンパイル済み言語の CodeQL コード スキャン」を参照してください。

  6.        **[変更のコミット...]** をクリックし、コミット変更フォームを表示します。

    新しいファイルを作成するためのフォームのスクリーンショット。 ファイル名の右側には、"変更をコミット..." というラベルが付いた緑色のボタンが濃いオレンジで囲まれています。

  7. [コミット メッセージ] フィールドに、コミット メッセージを入力します。

  8. 既定のブランチに直接コミットするか、新しいブランチを作成して pull request を開始するかを選択します。

  9.        **[新しいファイルをコミット]** をクリックし、ワークフロー ファイルを既定のブランチにコミットするか、**[新しいファイルを提案]** をクリックし、ファイルを新しいブランチにコミットします。

  10. 新しいブランチを作成した場合、[pull request の作成] をクリックし、既定のブランチに変更をマージする pull request を投稿します。

推奨される CodeQL 分析ワークフローでは、 code scanning は、変更を既定のブランチまたは保護されたブランチにプッシュするか、既定のブランチに対してプル要求を発生させるたびにコードを分析するように構成されています。 その結果、 code scanning が開始されます。

コード スキャンの on:pull_requeston:push トリガーは、それぞれ異なる目的に役立ちます。 「コード スキャンのワークフロー構成オプション」と「ワークフローをトリガーする」を参照してください。

一括有効化について詳しくは、「CodeQL で大規模にコード スキャンの高度なセットアップを構成する」をご覧ください。

サード パーティのアクションを使用した code scanning の構成

          GitHub には、サードパーティのアクション用のワークフロー テンプレートと、 CodeQL アクションが含まれています。 ワークフロー テンプレートを使用する方が、一からワークフローを記述するよりもはるかに簡単です。

アクションを使用して code scanning を実行すると、分が使用されます。 詳細については、「GitHub Actions の課金」を参照してください。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [ Actions] をクリックします。

    "github/docs" リポジトリのタブのスクリーンショット。 [アクション] タブがオレンジ色の枠線で強調表示されています。

  3. リポジトリで既に 1 つ以上のワークフローが構成され、実行されている場合は、[新しいワークフロー] をクリックしてワークフローを表示します。 現在、リポジトリ用に設定されているワークフローがない場合は、次のステップに進みます。

    リポジトリの [アクション] タブのスクリーンショット。 [新しいワークフロー] ボタンが、濃いオレンジ色で囲まれます。

  4. [ワークフローの選択] ビューまたは [ GitHub Actionsの概要] ビューで、[セキュリティ] カテゴリまで下にスクロールし、構成するワークフローの下にある [ 構成 ] をクリックします。 構成するセキュリティ ワークフローを見つけるには、 [すべて表示] をクリックすることが必要な場合があります。

    ワークフロー テンプレートの [セキュリティ] カテゴリのスクリーンショット。 [構成] ボタンと [すべて表示] リンクがオレンジ色のアウトラインで強調されています。

  5. ワークフローの指示に従い、ニーズに合わせてカスタマイズします。 ワークフローに関する一般的なヘルプについては、ワークフロー ページの右側のペインにある [ドキュメント] をクリックします。

    編集用に開かれたワークフロー テンプレートを示すスクリーンショット。 [ドキュメント] ボタンがオレンジ色のアウトラインで強調されています。

  6. 構成の定義が完了したら、新しいワークフローを既定のブランチに追加します。

    詳細については、「ワークフロー テンプレートの使用」および「コード スキャンのワークフロー構成オプション」を参照してください。

次のステップ

ワークフローが少なくとも 1 回正常に実行されたら、 code scanning アラートの調査と解決を開始する準備が整います。 code scanningアラートの詳細については、「Code scanningアラートについて」および「AUTOTITLE」を参照してください。

プルリクエストのチェックとしての実行動作について知るには、Pull RequestでCode scanningアラートをトリアージする を参照してください。

各スキャンのタイムスタンプやスキャンされたファイルの割合など、 code scanning 構成に関する詳細情報は、ツールの状態ページで確認できます。 詳細については、「コード スキャンにツールの状態ページを使用する」を参照してください。

詳細については、次を参照してください。