About code scanning

You can use code scanning to find security vulnerabilities and errors in the code for your project on GitHub.

Кто может использовать эту функцию?

Code scanning доступен для следующих типов репозитория:

  • Общедоступные репозитории для GitHub.com
  • Репозитории, принадлежащие организации, на GitHub Team, GitHub Enterprise Cloud или GitHub Enterprise Server, с включённым GitHub Advanced Security .

В этой статье

Примечание.

Администратор сайта должен включить code scanning перед использованием этой функции. Дополнительные сведения см. в разделе Настройка сканирования кода для устройства.

Возможно, вы не сможете включить или отключить code scanning, если владелец предприятия установил политику GitHub Advanced Security на уровне предприятия. Дополнительные сведения см. в разделе Применение политик безопасности кода и анализа для вашего предприятия.

Code scanning — это функция, используемая для анализа кода в репозитории GitHub для поиска уязвимостей системы безопасности и ошибок кодирования. Все проблемы, выявленные анализом, отображаются в репозитории.

You can use code scanning to find, triage, and prioritize fixes for existing problems in your code. Code scanning also prevents developers from introducing new problems. You can schedule scans for specific days and times, or trigger scans when a specific event occurs in the repository, such as a push.

If code scanning finds a potential vulnerability or error in your code, GitHub displays an alert in the repository. After you fix the code that triggered the alert, GitHub closes the alert. For more information, see Разрешение оповещений сканирования кода.

To monitor results from code scanning across your repositories or your organization, you can use webhooks and the code scanning API. For information about the webhooks for code scanning, see События и полезные данные веб-перехватчика. For information about API endpoints, see Конечные точки REST API для сканирования кода.

To get started with code scanning, see Настройка настройки по умолчанию для сканирования кода.

About tools for code scanning

You can configure code scanning to use the CodeQL product maintained by GitHub or a third-party code scanning tool.

About CodeQL analysis

CodeQL — это система анализа кода, разработанная GitHub для автоматизации проверок безопасности. Код можно проанализировать, используя CodeQL, и отобразить результаты в виде оповещений code scanning. For more information about CodeQL, see About code scanning with CodeQL.

About third-party code scanning tools

Code scanning взаимодействует с сторонними средствами сканирования кода, которые выводит данные формата обмена статическими результатами анализа (SARIF). SARIF — это открытый стандарт. Дополнительные сведения см. в разделе Поддержка SARIF для проверки кода.

You can run third-party analysis tools within GitHub using actions or within an external CI system. For more information, see Настройка расширенной настройки для сканирования кода or Отправка файла SARIF в GitHub.

About the Страница состояния средства

The Страница состояния средства shows useful information about all of your code scanning tools. If code scanning is not working as you'd expect, the Страница состояния средства is a good starting point for debugging problems. For more information, see Сведения о странице состояния средства для сканирования кода.