メモ
code scanning の既定のセットアップ、または GitHub Actions を使用して CodeQL アクションを実行する高度なセットアップを使用する場合は、SARIF ファイルを操作する必要はありません。 スキャン結果はアップロードされ、code scanning アラートとして自動的に解析されます。
SARIF は _、静的分析結果交換形式_を表します。 これは、静的分析ツールからの結果を格納するための JSON ベースの標準です。
**サードパーティの分析ツールまたは CI/CD システム**を使用してコードの脆弱性をスキャンする場合は、SARIF ファイルを生成し、GitHub にアップロードできます。 GitHub は SARIF ファイルを解析し、code scanning 機能の一環としてリポジトリの結果を使用してアラートを表示します。
GitHub は、SARIF ファイルのプロパティを使用してアラートを表示します。 たとえば、shortDescription と fullDescription は code scanning アラートの先頭に表示されます。
locationを使用すると、 GitHub でコード ファイルに注釈を表示できます。
この記事では、GitHub で SARIF ファイルを使用する方法について説明します。 SARIF を使い慣れていなく、詳細を確認したい場合は、Microsoft の SARIF tutorials リポジトリを参照してください。
バージョンの要件
Code scanning は、SARIF 2.1.0 JSON スキーマのサブセットをサポートしています。 サード パーティ製ツールの SARIF ファイルでこのバージョンが使用されていることを確認します。
アップロード メソッド
GitHub Actions、code scanning API、または CodeQL CLI を使用して SARIF ファイルをアップロードできます。 最適なアップロード方法は、SARIF ファイルの生成方法によって異なります。 詳しくは、「SARIF ファイルを GitHub にアップロードする」をご覧ください。