Enterprise Server 3.20 は、現在リリース候補として使用できます。

コード スキャンにツールの状態ページを使用する

使用中の code scanning 分析のスムーズな実行を維持するために、リアルタイムでツールの状態を表示し、構成の問題を特定し、レポートをダウンロードします。

この機能を使用できるユーザーについて

書き込み アクセスを持つユーザー

Code scanning は、次のリポジトリの種類で使用できます。

  • GitHub.com 上のパブリックリポジトリ
  • GitHub Team、GitHub Enterprise Cloud、または GitHub Enterprise Server 上の組織所有リポジトリ。 GitHub Code Security が 有効になっています。

この記事で

メモ

この機能を使用するには、サイト管理者が code scanning を有効にする必要があります。 詳しくは、「アプライアンス用コードスキャンの構成」をご覧ください。

Enterprise の所有者が Enterprise レベルで GitHub Code Security ポリシーを設定している場合、code scanning を有効または無効にできない場合があります。 詳しくは、「エンタープライズのコード セキュリティと分析のためのポリシーの適用」をご覧ください。

ツールの状態ページ には、すべてのコード スキャン ツールに関する情報が表示され、問題をデバッグするための出発点として適しています。 ツールの内容とツールが提供する情報の詳細については、 ツールの状態ページについて を参照してください。

リポジトリのツールの状態ページを表示する

各リポジトリの code scanning アラート ページには、コード スキャン分析の正常性の概要を示すツール バナーと、設定を調べるための ツールの状態ページ へのアクセスが含まれています。

  1. GitHub で、リポジトリのメイン ページに移動します。1. リポジトリ名の下にある [Security] をクリックします。 [Security] タブが表示されない場合は、 ドロップダウン メニューを選んでから、[Security] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。
    1. 左側のサイドバーで、 [Code scanning] をクリックします。

  2. ツール バナーの [ツールの状態] をクリックします。

           ![リポジトリからツールの状態ページにアクセスする方法を示すスクリーンショット。 [ツールの状態] ボタンが濃いオレンジ色の枠線で強調表示されています。](/assets/images/help/repository/code-scanning-tool-status-page-access.png)

ツールの状態ページの使用

ツールの状態ページに、サイドバーで強調表示された 1 つのツールの概要が表示されます。 サイドバーを使用すると、さまざまなツールの概要を表示することができます。

CodeQL ツールが選択されているツールの状態ページを示すスクリーンショット。

CodeQL などの統合ツールの場合、リポジトリ内で最近スキャンされたすべてのファイルの合計の割合を、プログラミング言語別に整理して表示できます。 また、詳しい言語レポートを CSV 形式でダウンロードすることもできます。 分析されたファイルの詳細のダウンロードを参照してください。

ツールに関する詳細情報へのアクセス

現在表示されているツールの詳細情報を確認したい場合は、[セットアップの種類] で特定のセットアップを選択できます。

画面の左側にある [構成] で、このセットアップの種類によって実行される各分析の情報と、関連するエラー メッセージを確認できます。 最新の分析実行に関する詳細情報を表示するには、サイドバーで構成を選択します。 コードのそのスキャンで実行された正確なルールと、各ルールによって検出されたアラートの数の詳細をダウンロードできます。 詳しい情報については、「使用されるルールのリストをダウンロードする」を参照してください。

ツールのステータスページにおける CodeQL の詳細情報を示すスクリーンショット。

このビューには、エラー メッセージも表示されます。 詳しい情報については、「ツールの状態ページを使用したデバッグ」を参照してください。

分析されたファイルの詳細をダウンロードする

CodeQL などの統合ツールについては、ツールの状態ページから詳しいレポートを CSV 形式でダウンロードできます。 これには、次の情報が示されます。

  • 各ファイルのスキャンに使用された構成
  • ファイル パス
  • ファイルのプログラミング言語
  • ファイルが正常に抽出されたかどうか

レポートをダウンロードするには、目的のツールを選択します。 次に、ページの右上にある ボタンをクリックします。

使用されるルールのリストをダウンロードする

code scanning と照合するルールのリストを CSV 形式でダウンロードできます。 これには、次の情報が示されます。

  • 使用される構成
  • ルールのソース
  • SARIF 識別子
  • 検出されたアラートの数

レポートをダウンロードするには、目的の構成を選択します。 次に、ページの右上にある % octicon "kebab-horizontal" aria-label="Configuration menu" %} をクリックし、 [使用されるルールのリストのダウンロード] を選択します。

構成の削除

リポジトリの既定のブランチについては、古い構成、重複している構成、不要な構成を削除できます。

構成を削除するには、削除する構成を選択します。 次に、ページの右上にある をクリックし、 [構成の削除] を選択します。 アラートに関する警告を読んだ後、削除を確定するには [削除] ボタンをクリックします。

メモ

リポジトリの既定ブランチの構成を削除するには、ツールの状態ページ のみを使用することができます。 既定以外のブランチから構成を削除する方法については、「コード スキャン アラートを解決する」を参照してください。

ツールの状態ページを使用したデバッグ

code scanning アラート ページで、分析に問題があることがわかった場合、ツールの状態ページを使用して問題を特定できます。 統合ツールの場合、特定の code scanning ツールに関連する詳細情報セクションで特定のエラー メッセージを確認できます。 これらのエラー メッセージには、ツールが想定どおりに実行されていない可能性がある理由と、実行できるアクションに関する情報が含まれています。 ツールの状態ページのこのセクションにアクセスする方法について詳しくは、「ツールに関する詳細情報へのアクセス」を参照してください。

CodeQL などの統合ツールの場合は、ファイル カバレッジ情報を使用して分析を改善することもできます。 ファイル カバレッジのパーセンテージの解釈の詳細については、 AUTOTITLE を参照してください。

詳細については、「コード スキャン分析エラーのトラブルシューティング」および「SARIF アップロードのトラブルシューティング」を参照してください。