참고 항목
code scanning에 대한 기본 설정 또는 GitHub Actions를 사용하여 CodeQL 작업을 실행하는 고급 설정을 사용하는 경우 SARIF 파일과 상호 작용할 필요가 없습니다. 검사 결과가 업로드되면 자동으로 code scanning 경고로 처리됩니다.
SARIF는 정적 분석 결과 교환 형식을 의미합니다. 정적 분석 도구의 결과를 저장하기 위한 JSON 기반 표준입니다.
**타사 분석 도구 또는 CI/CD 시스템을** 사용하여 코드에서 취약성을 검사하는 경우 SARIF 파일을 생성하여 GitHub에 업로드할 수 있습니다. GitHub는 SARIF 파일을 파싱하고 code scanning 경험의 일부로 리포지토리의 결과를 사용하여 알림을 표시합니다.
GitHub는 SARIF 파일의 속성을 사용하여 경고를 표시합니다. 예를 들어 shortDescription 및 fullDescription은 code scanning 경고의 맨 위에 표시됩니다.
locationGitHub에서 코드 파일에 주석을 표시할 수 있습니다.
이 문서에서는 GitHub에서 SARIF 파일을 사용하는 방법을 설명합니다. SARIF를 처음 접하여 자세히 알아보려는 경우 Microsoft의 SARIF tutorials 리포지토리를 참조하세요.
버전 요구 사항
Code scanning는 SARIF 2.1.0 JSON 스키마의 하위 집합을 지원합니다. 타사 도구의 SARIF 파일이 이 버전을 사용하는지 확인합니다.
업로드 방법
SARIF 파일은 GitHub Actions, code scanning API 또는 CodeQL CLI을 사용하여 업로드할 수 있습니다. 최상의 업로드 방법은 SARIF 파일을 생성하는 방법에 따라 달라집니다. 자세한 내용은 GitHub에 SARIF 파일 업로드을(를) 참조하세요.