Примечание.
Если вы используете стандартную настройку для code scanning или продвинутую конфигурацию, включающую использование GitHub Actions для выполнения действия CodeQL, то вам не нужно взаимодействовать с файлами SARIF. Результаты сканирования автоматически загружаются и анализируются как code scanning оповещения.
SARIF расшифровывается как формат обмена результатами статического анализа. Это стандарт на базе JSON для хранения результатов статических инструментов анализа.
Если вы используете сторонний аналитический инструмент или систему CI/CD для поиска уязвимостей, вы можете сгенерировать SARIF-файл и загрузить его в GitHub. GitHub будет парсировать файл SARIF и показывать оповещения, используя результаты из вашего репозитория в рамках опыта code scanning.
GitHub использует свойства файла SARIF для отображения оповещений. Например, shortDescription и fullDescription отображаются в верхней части оповещения code scanning. Это location позволяет GitHub отображать аннотации в вашем кодовом файле.
В этой статье объясняется, как файлы SARIF используются на GitHub. Если вы не знакомы с SARIF и хотите узнать больше, ознакомьтесь репозиторием SARIF tutorials корпорации Майкрософт.
Требования к версии
Code scanning поддерживает подмножество схемы JSON SARIF 2.1.0 . Убедитесь, что файлы SARIF от сторонних инструментов используют эту версию.
Методы загрузки
Вы можете загрузить файл SARIF с помощью GitHub Actions, API code scanning или CodeQL CLI. Лучший способ загрузки зависит от того, как вы генерируете SARIF-файл. Дополнительные сведения см. в разделе Отправка файла SARIF в GitHub.