Nota:
Si usa la configuración predeterminada para code scanning o una configuración avanzada que implica usar GitHub Actions para ejecutar la acción CodeQL , no es necesario interactuar con los archivos SARIF. Los resultados del análisis se cargan y se analizan automáticamente como alertas de code scanning.
SARIF significa formato de intercambio de resultados de análisis estáticos. Se trata de un estándar basado en JSON para almacenar resultados de herramientas de análisis estáticos.
Si usa una herramienta de análisis de terceros o un sistema ci/CD para examinar el código de vulnerabilidades, puede generar un archivo SARIF y cargarlo en GitHub. GitHub analizará el archivo SARIF y mostrará alertas utilizando los resultados en tu repositorio como parte de la experiencia de code scanning.
GitHub usa propiedades en el archivo SARIF para mostrar alertas. Por ejemplo, shortDescription y fullDescription aparecen en la parte superior de una alerta de code scanning.
location permite a GitHub mostrar anotaciones en el archivo de código.
En este artículo se explica cómo se usan los archivos SARIF en GitHub. Si no está familiarizado con SARIF y quiere obtener más información, consulte el repositorio SARIF tutorials de Microsoft.
Requisitos de versión
Code scanning admite un subconjunto del esquema JSON SARIF 2.1.0. Asegúrese de que los archivos SARIF de herramientas de terceros usen esta versión.
Métodos de carga
Puede cargar un archivo SARIF utilizando GitHub Actions, la API de code scanning o la CodeQL CLI. El mejor método de carga depende de cómo genere el archivo SARIF. Para más información, consulta Subir un archivo SARIF a GitHub.