コード スキャンにツールの状態ページを使用する

リアルタイム ツールの状態を表示し、構成の問題を特定し、レポートをダウンロードして、 code scanning 分析をスムーズに実行し続けます。

この機能を使用できるユーザーについて

書き込み アクセスを持つユーザー

Code scanning は、次のリポジトリの種類で使用できます。

  • GitHub.com 上のパブリックリポジトリ
  • GitHub Team、GitHub Enterprise Cloud、または GitHub Enterprise Server 上の組織所有リポジトリ。 GitHub Code Security が 有効になっています。

この記事で

          ツールの状態ページには、すべてのコード スキャン ツールに関する情報が表示され、問題をデバッグするための出発点として適しています。 ツールの内容とツールが提供する情報の詳細については、 [AUTOTITLE](/code-security/concepts/code-scanning/tool-status-page) を参照してください。

リポジトリの ツールの状態ページ の表示

各リポジトリの code scanning アラート ページには、コード スキャン分析の正常性の概要を示すツール バナーと、セットアップを調べるための ツールの状態ページ へのアクセスが含まれています。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [ Security and quality ] タブをクリックします。[ Security and quality] タブが表示されない場合は、 ドロップダウン メニューを選択し、[ Security and quality] をクリックします。

  3. 左側のサイドバーで、 [Code scanning] をクリックします。

  4. ツール バナーの [ツールの状態] をクリックします。

           ![リポジトリからツールの状態ページにアクセスする方法を示すスクリーンショット。 [ツールの状態] ボタンが濃いオレンジ色の枠線で強調表示されています。](/assets/images/help/repository/code-scanning-tool-status-page-access.png)


          ツールの状態ページ の使用

          ツールの状態ページには、1 つのツールの概要がサイドバーで強調表示されています。 サイドバーを使用すると、さまざまなツールの概要を表示することができます。

CodeQL ツールが選択されているツールの状態ページを示すスクリーンショット。

          CodeQLなどの統合ツールの場合、リポジトリで最近スキャンされたすべてのファイルの合計に対する割合を、プログラミング言語別に整理して確認できます。 また、詳しい言語レポートを CSV 形式でダウンロードすることもできます。 
          [分析されたファイルの詳細のダウンロードを](#downloading-details-of-the-files-analyzed)参照してください。

ツールに関する詳細情報へのアクセス

現在表示されているツールの詳細情報を確認したい場合は、[セットアップの種類] で特定のセットアップを選択できます。

画面の左側にある [構成] で、このセットアップの種類によって実行される各分析の情報と、関連するエラー メッセージを確認できます。 最新の分析実行に関する詳細情報を表示するには、サイドバーで構成を選択します。 コードのそのスキャンで実行された正確なルールと、各ルールによって検出されたアラートの数の詳細をダウンロードできます。 詳しい情報については、「使用されるルールのリストをダウンロードする」を参照してください。

ツールのステータスページにおける CodeQL の詳細情報を示すスクリーンショット。

このビューには、エラー メッセージも表示されます。 詳しい情報については、「ツールの状態ページを使用したデバッグ」を参照してください。

分析されたファイルの詳細をダウンロードする

          CodeQLなどの統合ツールの場合は、ツールの状態ページから CSV 形式で詳細なレポートをダウンロードできます。 これには、次の情報が示されます。
  • 各ファイルのスキャンに使用された構成
  • ファイル パス
  • ファイルのプログラミング言語
  • ファイルが正常に抽出されたかどうか

レポートをダウンロードするには、目的のツールを選択します。 次に、ページの右上にある [ ] ボタンをクリックします。

使用されるルールのリストをダウンロードする

チェック対象のルール code scanning 一覧を CSV 形式でダウンロードできます。 これには、次の情報が示されます。

  • 使用される構成
  • ルールのソース
  • SARIF 識別子
  • 検出されたアラートの数

レポートをダウンロードするには、目的の構成を選択します。 次に、ページの右上にある [] をクリックし、使用するルールの一覧ダウンロードを選択します。

構成の削除

リポジトリの既定のブランチについては、古い構成、重複している構成、不要な構成を削除できます。

構成を削除するには、削除する構成を選択します。 次に、ページの右上にある [] をクリックし、[構成の削除] 選択します。 アラートに関する警告を読んだ後、削除を確定するには [削除] ボタンをクリックします。

メモ

          ツールの状態ページを使用して、リポジトリの既定のブランチの構成を削除することしかできません。 既定以外のブランチから構成を削除する方法については、「[AUTOTITLE](/code-security/how-tos/manage-security-alerts/manage-code-scanning-alerts/resolving-code-scanning-alerts#removing-stale-configurations-and-alerts-from-a-branch)」を参照してください。

ツールの状態ページを使用したデバッグ

          code scanningアラート ページから分析に問題がある場合は、ツールの状態ページを使用して問題を特定できます。 統合ツールの場合、特定の code scanning ツールに関連する詳細な情報セクションに特定のエラー メッセージが表示されます。 これらのエラー メッセージには、ツールが想定どおりに実行されていない可能性がある理由と、実行できるアクションに関する情報が含まれています。 
          ツールの状態ページのこのセクションにアクセスする方法の詳細については、[ツールに関する詳細情報へのアクセスを](#accessing-detailed-information-about-tools)参照してください。

          CodeQLなどの統合ツールの場合は、ファイル カバレッジ情報を使用して分析を改善することもできます。 ファイル カバレッジのパーセンテージの解釈の詳細については、 [AUTOTITLE を](/code-security/concepts/code-scanning/tool-status-page)参照してください。

詳細については、「コード スキャン分析エラーのトラブルシューティング」および「SARIF アップロードのトラブルシューティング」を参照してください。