참고 항목
code scanning의 기본 설정을 이용하거나 GitHub Actions를 통한 CodeQL 고급 설정을 활용한다면, 사용자가 직접 SARIF 파일을 다룰 필요가 없습니다. 검사 결과가 업로드되는 즉시 자동으로 code scanning 경고로 변환됩니다.
SARIF는 정적 분석 결과 교환 형식을 의미합니다. 정적 분석 도구의 결과를 저장하기 위한 JSON 기반 표준입니다.
**타사 분석 도구 또는 CI/CD 시스템을** 사용하여 코드에서 취약성을 검사하는 경우 SARIF 파일을 생성하여 GitHub에 업로드할 수 있습니다. GitHub는 SARIF 파일을 파싱하고 code scanning 경험의 일부로 리포지토리의 결과를 사용하여 알림을 표시합니다.
GitHub는 SARIF 파일의 속성을 사용하여 경고를 표시합니다. 예를 들어 shortDescription 및 fullDescription은 code scanning 경고의 맨 위에 표시됩니다.
locationGitHub에서 코드 파일에 주석을 표시할 수 있습니다.
이 문서에서는 GitHub에서 SARIF 파일을 사용하는 방법을 설명합니다. SARIF에 대해 처음 접하고 더 자세히 알아보고 싶다면 Microsoft의 SARIF tutorials 리포지토리를 참고하는 것이 좋습니다.
버전 요구 사항
Code scanning는 SARIF 2.1.0 JSON 스키마의 하위 집합을 지원합니다. 타사 도구의 SARIF 파일이 이 버전을 사용하는지 확인합니다.
업로드 방법
SARIF 파일은 GitHub Actions, code scanning API, 또는 CodeQL CLI를 통해 업로드할 수 있습니다. 최상의 업로드 방법은 SARIF 파일을 생성하는 방법에 따라 달라집니다. 자세한 내용은 GitHub에 SARIF 파일 업로드을(를) 참조하세요.