Code scanning는 GitHub 리포지토리의 코드를 분석하여 보안 취약성 및 코딩 오류를 찾는 데 사용하는 기능입니다. 분석으로 식별되는 모든 문제는 리포지토리에 표시됩니다.
code scanning을(를) 사용하여 코드에서 기존 문제에 대한 수정 사항을 찾고, 심사하고, 우선 순위를 지정할 수 있습니다. Code scanning은(는) 개발자가 새로운 문제를 발생시키는 것도 방지합니다. 특정 날짜 및 시간에 대한 검사를 예약하거나 푸시와 같은 리포지토리에서 특정 이벤트가 발생할 때 검사를 트리거할 수 있습니다.
code scanning이(가) 코드에서 잠재적 취약성 또는 오류를 발견하면 GitHub이(가) 리포지토리에 경고를 표시합니다. 경고를 트리거한 코드를 수정하면 GitHub이(가) 경고를 닫습니다. 자세한 내용은 코드 검사 경고 해결을(를) 참조하세요.
GitHub Copilot Autofix는 code scanning 분석의 경고에 대한 수정 사항을 제안하므로 개발자는 더 적은 노력으로 취약성을 방지하고 줄일 수 있습니다. 자세한 내용은 Responsible use of Copilot Autofix for code scanning을(를) 참조하세요.
리포지토리 또는 조직에서 code scanning의 결과를 모니터링하려면 웹후크 및 code scanning API를 사용할 수 있습니다. code scanning의 웹후크에 대한 자세한 정보는 웹후크 이벤트 및 페이로드을(를) 참조하세요. API 엔드포인트에 대한 자세한 정보는 코드 검색에 대한 REST API 엔드포인트을(를) 참조하세요.
code scanning로 시작하려면 Configuring default setup for code scanning을(를) 참조하세요.
code scanning에 대한 도구 정보
GitHub에서 유지 관리하는 CodeQL 제품 또는 제3자 code scanning 도구를 사용하도록 code scanning을 설정할 수 있습니다.
CodeQL 분석 정보
CodeQL은 보안 검사를 자동화하기 위해 GitHub에서 개발한 코드 분석 엔진입니다. CodeQL을 사용하여 코드를 분석하고 결과를 code scanning 경고로 표시할 수 있습니다. CodeQL에 대한 자세한 정보는 CodeQL을 사용하는 코드 검사 안내을(를) 참조하세요.
타사 code scanning 도구 정보
Code scanning는 SARIF(정적 분석 결과 교환 형식) 데이터를 출력하는 타사 코드 검색 도구와 상호 운용할 수 있습니다. SARIF는 개방형 표준입니다. 자세한 내용은 코드 검사에 대한 SARIF 지원을(를) 참조하세요.
작업을 사용하거나 외부 CI 시스템 내에서 GitHub 내의 타사 분석 도구를 실행할 수 있습니다. 자세한 내용은 Configuring advanced setup for code scanning 또는 Uploading a SARIF file to GitHub을(를) 참조하세요.
도구 상태 페이지 정보
도구 상태 페이지은(는) 모든 코드 스캔 도구에 대한 유용한 정보를 표시합니다. 코드 검색이 예상대로 작동하지 않는 경우 도구 상태 페이지은(는) 디버깅 문제를 위한 좋은 출발점입니다. 자세한 내용은 About the tool status page for code scanning을(를) 참조하세요.