メモ
code scanning の既定のセットアップ、または GitHub Actions を使用して CodeQL アクションを実行する高度なセットアップを使用する場合は、SARIF ファイルを操作する必要はありません。 スキャン結果はアップロードされ、code scanning アラートとして自動的に解析されます。
SARIF は _、静的分析結果交換形式_を表します。 これは、静的分析ツールからの結果を格納するための JSON ベースの標準です。
**サードパーティの分析ツールまたは CI/CD システム**を使用してコードの脆弱性をスキャンする場合は、SARIF ファイルを生成し、GitHub にアップロードできます。 GitHub は SARIF ファイルを解析し、code scanning 機能の一環としてリポジトリの結果を使用してアラートを表示します。
GitHub は、SARIF ファイルのプロパティを使用してアラートを表示します。 たとえば、shortDescription と fullDescription は code scanning アラートの先頭に表示されます。
locationを使用すると、 GitHub でコード ファイルに注釈を表示できます。
この記事では、GitHub で SARIF ファイルを使用する方法について説明します。 SARIF を使い慣れていなく、詳細を確認したい場合は、Microsoft の SARIF tutorials リポジトリを参照してください。
バージョンの要件
Code scanning は、SARIF 2.1.0 の JSON スキーマのサブセットをサポートしています。 サード パーティ製ツールの SARIF ファイルでこのバージョンが使用されていることを確認します。
アップロード メソッド
GitHub Actions、code scanning API、または CodeQL CLI を使用して SARIF ファイルをアップロードできます。 最適なアップロード方法は、SARIF ファイルの生成方法によって異なります。 詳しくは、「SARIF ファイルを GitHub にアップロードする」をご覧ください。