{"meta":{"title":"コードスキャンについて","intro":"code scanningを使用して、GitHubのプロジェクトのコードでセキュリティの脆弱性とエラーを見つけることができます。","product":"セキュリティとコードの品質","breadcrumbs":[{"href":"/ja/enterprise-cloud@latest/code-security","title":"セキュリティとコードの品質"},{"href":"/ja/enterprise-cloud@latest/code-security/concepts","title":"Concepts"},{"href":"/ja/enterprise-cloud@latest/code-security/concepts/code-scanning","title":"コードスキャン"},{"href":"/ja/enterprise-cloud@latest/code-security/concepts/code-scanning/about-code-scanning","title":"イントロダクション"}],"documentType":"article"},"body":"# コードスキャンについて\n\ncode scanningを使用して、GitHubのプロジェクトのコードでセキュリティの脆弱性とエラーを見つけることができます。\n\nCode scanning は、GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディングエラーを見つけることができる機能です。分析によって特定された問題は、リポジトリに表示されます。\n\n```\n code scanningを使用して、コード内の既存の問題に対する修正プログラムの検索、トリアージ、優先順位付けを行うことができます。 \n Code scanning また、開発者が新しい問題を導入することもできなくなります。特定の日付と時刻でのスキャンをスケジュールしたり、プッシュなどの特定のイベントがリポジトリで発生したときにスキャンをトリガーしたりできます。\n```\n\nコード code scanning 潜在的な脆弱性またはエラーが見つかると、 GitHub リポジトリにアラートが表示されます。アラートをトリガーしたコードを修正した後、 GitHub アラートを閉じます。詳しくは、「[コードスキャンアラートを解決する](/ja/enterprise-cloud@latest/code-security/code-scanning/managing-code-scanning-alerts/resolving-code-scanning-alerts)」をご覧ください。\n\n```\n GitHub Copilotの自動修正機能では、 code scanning 分析からのアラートの修正が提案され、開発者は少ない労力で脆弱性を防止および軽減できます。詳しくは、「[AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/responsible-use-autofix-code-scanning)」をご覧ください。\n```\n\nリポジトリまたは組織全体の code scanning からの結果を監視するには、webhook と code scanning API を使用できます。\ncode scanningの Webhook の詳細については、[Webhook のイベントとペイロード](/ja/enterprise-cloud@latest/webhooks-and-events/webhooks/webhook-events-and-payloads#code_scanning_alert) を参照してください。 API エンドポイントについては、「[コードスキャン用の REST API エンドポイント](/ja/enterprise-cloud@latest/rest/code-scanning/code-scanning)」を参照してください。\n\n```\n Code scanning は GitHub Actionsを使用し、各ワークフロー実行で GitHub Actions 分を消費します。プライベートリポジトリで code scanning を使用する場合は、 GitHub Code Security ライセンスが必要です。詳しくは、「[AUTOTITLE](/billing/managing-billing-for-github-actions/about-billing-for-github-actions)」をご覧ください。 GitHub Advanced Security を無料で試用する方法については、「[AUTOTITLE](/billing/managing-billing-for-your-products/managing-billing-for-github-advanced-security/setting-up-a-trial-of-github-advanced-security)」を参照してください。\n```\n\nライセンスを購入する前に脆弱性に対する組織の露出を評価する場合は、無料の code security risk assessmentを実行できます。「[コードセキュリティリスク評価](/ja/enterprise-cloud@latest/code-security/concepts/code-scanning/code-security-risk-assessment)」を参照してください。\n\n```\n code scanningの使用を開始するには、[AUTOTITLE](/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning) を参照してください。\n```\n\n##\n\n```\n code scanningのためのツールについて\n\n code scanningまたはサードパーティのCodeQL ツールによって管理されているGitHub製品を使用するようにcode scanningを構成できます。\n```\n\n###\n\n```\n CodeQL分析について\n\n CodeQL は、セキュリティチェックを自動化するために GitHub が開発した、コード分析エンジンです。 CodeQL を使用してコードを分析し、結果を code scanning アラートとして表示することができます。\n CodeQLの詳細については、「[AUTOTITLE](/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning-with-codeql)」を参照してください。\n```\n\n### サードパーティ製 code scanning ツールについて\n\nCode scanning は、SARIF (Static Analysis Results Interchange Format) データを出力するサードパーティのコードスキャンニングツールと相互運用できます。 SARIFはオープン標準です。詳しくは、「[Code scanningの SARIF サポート](/ja/enterprise-cloud@latest/code-security/code-scanning/integrating-with-code-scanning/sarif-support-for-code-scanning)」をご覧ください。\n\nアクションを使用して、または外部 CI システム内で、 GitHub 内でサードパーティの分析ツールを実行できます。詳細については、「[コードスキャンの詳細設定を構成する](/ja/enterprise-cloud@latest/code-security/code-scanning/creating-an-advanced-setup-for-code-scanning/configuring-advanced-setup-for-code-scanning#configuring-code-scanning-using-third-party-actions)」または「[SARIF ファイルを GitHub にアップロードする](/ja/enterprise-cloud@latest/code-security/code-scanning/integrating-with-code-scanning/uploading-a-sarif-file-to-github)」を参照してください。\n\n##\n\n```\n ツールの状態ページについて\n\n ツールの状態ページには、すべてのコードスキャンツールに関する有用な情報が表示されます。コードスキャンが期待どおりに動作しない場合、ツールの状態ページは問題をデバッグするための出発点として適しています。詳しくは、「[AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/about-the-tool-status-page)」をご覧ください。\n```"}