コード スキャンのマージ保護

コード スキャンルールは、潜在的な脆弱性を持つプル要求がマージされないようにします。

この機能を使用できるユーザーについて

Repository administrators and organization owners

Rulesets are available in public repositories with GitHub Free and GitHub Free for organizations, and in public and private repositories with GitHub Pro, GitHub Team, and GitHub Enterprise Cloud.

この記事の内容

code scanning マージ保護のルールセット

ルールセットは、ユーザーがリポジトリ内のブランチとタグを操作する方法を制御するルールの名前付きリストです。 code scanning のルールをルールセットに追加して、次のいずれかの条件が満たされるときに pull request がマージされないようにすることができます。

  • 必要なツールは、ルール セットで定義されている重大度の code scanning アラートを検索します。
  • 必要なツールの分析はまだ進行中です。
  • リポジトリに必要なツールが構成されていません。

通常、code scanning マージ保護は、pull reuqest をマージする前にコードが分析されたことを保証する有効期間の長い機能ブランチで使用する必要があります。

code scanning 規則を構成しても、code scanning は自動的に有効になりません。 コード スキャンを有効にする方法については、 コード スキャンの既定セットアップの構成 を参照してください。

メモ

  • ルール セットを使用したマージ保護は、ステータス チェックと関係ありません。 ユーザーのステータス チェックの詳しい情報については、「ステータスチェックについて」を参照してください。

可用性

code scanning のマージ保護をルールセットで設定できます。

  • リポジトリ レベルで
  • 組織レベル (GitHub Enterprise プランのみ)

例外と制限事項

ルールセットを使用したマージ保護は、次の 場合には適用されません

  • キュー グループのマージ
  • Dependabot プルリクエストはデフォルト設定で分析されます

さらに、アラートで特定されたすべてのコード行は、pull 要求の差分に存在する必要があります。 詳しくは、「Code scanningの SARIF サポート」をご覧ください。

次のステップ

code scanning の結果を必要とするルールセットを構成するには、 コード スキャンのマージ保護を設定します を参照してください。