{"meta":{"title":"О файлах SARIF для сканирования кода","intro":"Файлы SARIF преобразуют сторонние анализы в оповещения на GitHub.","product":"Безопасность и качество кода","breadcrumbs":[{"href":"/ru/code-security","title":"Безопасность и качество кода"},{"href":"/ru/code-security/concepts","title":"Concepts"},{"href":"/ru/code-security/concepts/code-scanning","title":"Проверка кода"},{"href":"/ru/code-security/concepts/code-scanning/sarif-files","title":"Файлы SARIF"}],"documentType":"article"},"body":"# О файлах SARIF для сканирования кода\n\nФайлы SARIF преобразуют сторонние анализы в оповещения на GitHub.\n\n> \\[!NOTE] Если вы используете стандартную настройку для code scanning или продвинутую конфигурацию, включающую использование GitHub Actions для выполнения действия CodeQL, то вам не нужно взаимодействовать с файлами SARIF. Результаты сканирования автоматически загружаются и анализируются как code scanning оповещения.\n\nSARIF расшифровывается как *формат обмена результатами статического анализа*. Это стандарт на базе JSON для хранения результатов статических инструментов анализа.\n\nЕсли вы используете **сторонний аналитический инструмент или систему CI/CD** для поиска уязвимостей, вы можете сгенерировать SARIF-файл и загрузить его в GitHub. GitHub будет парсировать файл SARIF и показывать оповещения, используя результаты из вашего репозитория в рамках опыта code scanning.\n\nGitHub использует свойства файла SARIF для отображения оповещений. Например, `shortDescription` и `fullDescription` отображаются в верхней части оповещения code scanning. Это `location` позволяет GitHub отображать аннотации в вашем кодовом файле.\n\nВ этой статье объясняется, как файлы SARIF используются на GitHub. Если вы не знакомы с SARIF и хотите узнать больше, ознакомьтесь репозиторием [`SARIF tutorials`](https://github.com/microsoft/sarif-tutorials) корпорации Майкрософт.\n\n## Требования к версии\n\nCode scanning поддерживает подмножество схемы [JSON SARIF 2.1.0](https://docs.oasis-open.org/sarif/sarif/v2.1.0/sarif-v2.1.0.html) . Убедитесь, что файлы SARIF от сторонних инструментов используют эту версию.\n\n## Методы загрузки\n\nВы можете загрузить файл SARIF с помощью GitHub Actions, API code scanning или CodeQL CLI. Лучший способ загрузки зависит от того, как вы генерируете SARIF-файл. Дополнительные сведения см. в разделе [Отправка файла SARIF в GitHub](/ru/code-security/how-tos/scan-code-for-vulnerabilities/integrate-with-existing-tools/uploading-a-sarif-file-to-github)."}