사용자의 기존 CI 시스템으로 코드 검색 사용하기

제3자 연속 통합 시스템에 CodeQL 또는 다른 도구를 이용해 사용자의 코드를 분석하고 GitHub에 결과를 업로드할 수 있습니다. 결과로 생긴 code scanning 경고는 GitHub에 생성된 다른 경고들과 함께 표시됩니다.

누가 이 기능을 사용할 수 있나요?

쓰기 권한이 있는 사용자

Code scanning은 다음 리포지토리 유형에서 사용할 수 있습니다.

  • GitHub.com에 대한 퍼블릭 리포지토리
  • GitHub Team, GitHub Enterprise Cloud 또는 GitHub Enterprise Server에 대한 조직 소유의 리포지토리로, GitHub Code Security 가 활성화되어 있습니다.

이 문서의 내용

참고 항목

사이트 관리자가 먼저 code scanning을 사용하도록 설정해야 이 기능을 사용할 수 있습니다. 자세한 내용은 어플라이언스에 대한 코드 스캐닝 구성을(를) 참조하세요.

엔터프라이즈 소유자가 엔터프라이즈 수준에서 GitHub Code Security 정책을 설정한 경우 code scanning을 사용하거나 사용하지 않도록 설정할 수 없습니다. 자세한 내용은 엔터프라이즈에 대한 코드 보안 및 분석을 위한 정책 적용을(를) 참조하세요.

GitHub 내에서 GitHub Actions를 이용해 code scanning을 직접 실행하는 대신 외부 연속 통합 또는 연속 전달/배치(CI/CD) 시스템에서 코드를 분석한 뒤 결과를 GitHub로 업로드할 수 있습니다.

참고 항목

code scanning으로 표시할 SARIF 데이터를 업로드하면 GitHub가 GitHub Code Security를 사용하도록 설정된 조직 소유 리포지토리. 자세한 내용은 리포지토리에 대한 보안 및 분석 설정 관리을(를) 참조하세요.

사용자의 분석 도구 설정하기

먼저 사용자가 선택한 분석 도구를 다운로드한 뒤, CI 시스템과 함께 설정해야 합니다.

CodeQL CLI을 사용 중인 경우, CodeQL code scanning 분석을 실행하려는 모든 CI 서버에 CodeQL CLI 번들의 모든 컨텐츠를 이용 가능하게 만들어야 합니다. 자세한 내용은 CodeQL CLI 설정하기을(를) 참조하세요.

CI 시스템 내 서버에서 사용자의 분석 도구를 이용할 수 있도록 만들었다면 데이터를 생성할 준비가 된 것입니다.

코드 분석

CodeQL CLI 또는 다른 분석 도구를 이용해 코드를 분석하기 위해서는 분석하고자 하는 코드를 확인하고 코드베이스 환경을 설정하여 모든 종속성이 제공되도록 합니다. 이용 가능한 코드베이스에 대한 빌드 명령은 일반적으로 CI 시스템의 구성 파일에 제공됩니다.

이후로 사용자의 코드베이스를 분석하고 결과를 생성하기 위한 단계를 완료할 수 있는데, 이러한 단계는 사용 중인 정적 분석 도구에 따라 달라집니다.

CodeQL CLI를 사용 중인 경우, 우선 사용자의 코드로부터 CodeQL 데이터베이스를 생성하고 분석하여 SARIF 결과를 생성해야 합니다. 자세한 내용은 CodeQL 분석을 위한 코드 준비CodeQL 쿼리를 사용하여 코드 분석을(를) 참조하세요.

GitHub를 이용한 인증용 토큰 생성하기

CodeQL CLI, REST API, 다른 방법 중에 무엇을 사용하든 결과를 GitHub로 업로드하기 위해서는 각 CI 서버마다 GitHub App 또는 personal access token가 필요합니다. 액세스 토큰 또는 security_events 쓰기 권한이 있는 GitHub App을 사용해야 합니다. CI 서버가 GitHub로부터 리포지토리를 체크아웃하기 위해 이러한 범위의 토큰을 이미 이용 중인 경우, 사용자는 동일한 토큰을 사용해볼 수 있다. 그렇지 않으면 security_events 쓰기 권한이 있는 새 토큰을 만들고 이를 CI 시스템의 비밀 저장소에 추가해야 합니다. 자세한 내용은 GitHub 앱 만들기 정보개인용 액세스 토큰 관리을 참조하세요.

GitHub로 결과를 업로드하는 다양한 방법에 대한 자세한 내용은 GitHub에 SARIF 파일 업로드을 참조하세요.

GitHub에 결과 업로드하기

사용자의 코드를 분석하여 SARIF 결과를 생성하고, GitHub를 이용해 인증할 수 있다고 확신한다면, 해당 결과를 GitHub에 업로드할 수 있습니다. 결과를 업로드하는 데 사용할 수 있는 다양한 방법에 대한 추가 정보는 GitHub에 SARIF 파일 업로드을 참조하세요.

CodeQL CLI를 이용해 결과를 GitHub로 업로드하는 방법에 대한 자세한 내용은 GitHub에 CodeQL 분석 결과 업로드하기을 참조하세요.

기본적으로 code scanning은 리포지토리에 대한 분석마다 하나의 SARIF 결과 파일이 있을 것으로 기대합니다. 따라서 커밋에 대한 두 번째 SARIF 결과 파일을 업로드하면 두 번째가 원래 데이터 세트를 대체하는 것으로 처리됩니다. 예를 들어, 분석 도구가 분석하는 각 언어별로 또는 사용하는 각 규칙 세트별로 서로 다른 SARIF 파일을 생성하는 경우, 하나의 분석에 대해 두 개의 다른 SARIF 파일을 업로드할 수 있습니다. 리포지토리 내 커밋에 대해 2개 이상의 결과 집합을 업로드하고 싶다면, 각 결과 집합을 하나의 고유한 집합으로 식별해야 합니다. SARIF 업로드를 위한 범주를 지정하는 방법은 분석 방법에 따라 달라집니다. 자세한 내용은 코드 검사에 대한 SARIF 지원을(를) 참조하세요.