リポジトリのコード スキャンのアラートの評価

リポジトリの読み取りアクセス許可を持つすべてのユーザーは、pull request で code scanning 注釈を確認できます。 詳しくは、「Pull RequestでCode scanningアラートをトリアージする」をご覧ください。

リポジトリのアラートを表示する

** Security and quality ** タブでリポジトリのすべてのアラートの概要を表示するには、書き込みアクセス許可が必要です。

既定では、 code scanning アラート ページがフィルター処理され、リポジトリの既定のブランチのみのアラートが表示されます。

1. GitHub で、リポジトリのメイン ページに移動します。

2. リポジトリ名の下にある [ Security and quality ] タブをクリックします。[ Security and quality] タブが表示されない場合は、 ドロップダウン メニューを選択し、[ Security and quality] をクリックします。

3. 左側のサイドバーで、 [Code scanning] をクリックします。

4. 必要に応じて、フリー テキスト検索ボックスまたはドロップダウン メニューを使用してアラートをフィルター処理します。 たとえば、アラートの識別に使用されたツールでフィルター処理できます。 リンクされた GitHub の問題は、対応するアラートと共にリスト ビューに表示されます。

   

5. [Code scanning] で、調査するアラートをクリックすると、詳しいアラート ページが表示されます。 [アラート] ページのステータスと詳細は、他のブランチにアラートが存在する場合であっても、リポジトリの既定のブランチに対するアラートのステータスを反映するのみです。 既定以外のブランチのアラートの状態は、[アラート] ページの右側にある [影響を受けるブランチ] セクションで確認できます。 既定のブランチにアラートが存在しない場合、アラートの状態は、[in pull request] または [in branch] として、グレー表示されます。 [Development] セクションには、アラートを修正するリンク ブランチと pull request が表示されます。

6. アラートでデータ フローの問題が強調表示された場合は、必要に応じて [パスの表示] をクリックし、データソースから、それが使用されているシンクまでのパスを表示します。

   

7. CodeQL分析からのアラートには、問題の説明が含まれます。 コードの修正方法に関するガイダンスについては、 [さらに表示] をクリックします。

8. 必要に応じて、右側に表示される [Assignees] コントロールを使って、アラートを修正する担当者に割り当てます。「アラートの割り当て」を参照してください。

詳しくは、「Code scanningアラートについて」をご覧ください。

ギットハブ コパイロット チャットアラートについてcode scanningに質問する

GitHub Copilot Enterprise ライセンスを使用すると、組織内のリポジトリのセキュリティ アラート (コパイロットチャット アラートなど) をより深く理解するためのヘルプをcode scanningに依頼できます。 詳しくは、「GitHubでGitHub Copilotに質問する」をご覧ください。

組織の CodeQL pull request アラートのメトリックの表示

code scanning分析からのCodeQLアラートの場合は、セキュリティの概要を使用して、組織全体で書き込みアクセス権を持つリポジトリのプル要求でCodeQLがどのように実行されているかを確認したり、アクションを実行する必要があるリポジトリを特定したりできます。 詳しくは、「CodeQL プルリクエスト警告メトリクス」をご覧ください。

code scanningアラートのフィルター処理

code scanningアラート ビューに表示されるアラートをフィルター処理できます。 これにより、特定の種類のアラートに集中できるため、数多くのアラートがある場合に便利です。 表示されるアラートの一覧を絞り込むために使用できるいくつかの定義済みのフィルターとさまざまなキーワードがあります。

ドロップダウン リストからキーワードを選ぶか、検索フィールドにキーワードを入力すると、結果が含まれる値のみが表示されます。 結果のないフィルターを設定せずに済みます。

複数のフィルターを入力すると、ビューには、これらの _すべて_のフィルターと一致するアラートが表示されます。 たとえば、is:closed severity:high branch:main ブランチに存在する重大度が高い閉じたアラートのみが main で表示されます。 例外は、refs (ref、branch、pr) に関連するフィルターです。is:open branch:main branch:next、main ブランチと next ブランチの両方のオープンなアラートが表示されます。

既定ではないブランチでフィルター処理したのと同じアラートが、既定のブランチに存在する場合、そのアラートのアラート ページには、その状態が既定ではないブランチでの状態と競合する場合でも、既定のブランチのアラートの状態のみが反映されることに注意してください。 たとえば、アラートの概要の branch-x の [Open](オープン) リストに表示されるアラートは、そのアラートが既定のブランチで既に修正されている場合、アラート ページに "Fixed"(修正済み) の状態で表示される場合があります。 フィルター処理したブランチのアラートの状態は、アラート ページの右側の [Affected branches](影響を受けるブランチ) セクションで確認できます。

tag フィルターにプレフィックス - を付けると、そのタグを含む結果を除外できます。 たとえば、-tag:style には style タグのないアラートのみが表示されます。

結果をアプリケーション コードのみに制限する

"Only alerts in application code" フィルターまたは autofilter:true キーワードと値を使用して、結果をアプリケーション コード内のアラートに制限できます。 アプリケーション コードではないと自動的にラベル付けされるコードの種類の詳細については、「Code scanningアラートについて」を参照してください。

code scanningアラートの検索

アラートのリストを検索できます。 これは、リポジトリ中に大量のアラートがある場合や、たとえばアラートの正確な名前を知らないような場合に役立ちます。 GitHub は、次の中でフリーテキスト検索を実行します。

• アラートの名前です。
• アラート詳細 (これには、折り畳み可能なセクション [詳細を表示] では既定で非表示になる情報も含まれます)

サポートされている検索	構文の例	結果
単一語検索	injection	語 injection を含むすべてのアラートが返されます
複数語検索	sql injection
sql または injection を含むすべてのアラートが返されます
完全一致検索 (二重引用符を使用)	"sql injection"	句 sql injection をこのとおりに含むすべてのアラートが返されます
OR検索	sql OR injection
sql または injection を含むすべてのアラートが返されます
AND検索	sql AND injection
sql と injection の両方の語を含むすべてのアラートが返されます

1. GitHub で、リポジトリのメイン ページに移動します。
2. リポジトリ名の下にある [ Security and quality ] タブをクリックします。[ Security and quality] タブが表示されない場合は、 ドロップダウン メニューを選択し、[ Security and quality] をクリックします。
3. 左側のサイドバーで、 [Code scanning] をクリックします。
4. [フィルター] ドロップダウン メニューの右側にあるフリー テキスト検索ボックスに、検索するキーワードを入力します。

1. Return キーを押します。 アラート一覧には、検索条件に一致する開いている code scanning アラートが含まれます。

code scanning アラートへの応答の監査

code scanning ツールを使用して、GitHub アラートに応答して実行されたアクションを監査できます。 詳しくは、「セキュリティ アラートの監査」をご覧ください。

詳細については、次を参照してください。

• コード スキャン アラートを解決する
• Pull RequestでCode scanningアラートをトリアージする
• コード スキャンの既定セットアップの構成
• Code scanningとのインテグレーションについて