Hinweis
Wenn Sie das Standardsetup für code scanning oder ein erweitertes Setup verwenden, das die Verwendung von GitHub Actions umfasst, um die CodeQL -Aktion auszuführen, müssen Sie nicht mit SARIF-Dateien interagieren. Scanergebnisse werden hochgeladen und automatisch in code scanning-Warnungen analysiert.
SARIF steht für Static Analysis Results Interchange Format. Dies ist ein JSON-basierter Standard zum Speichern von Ergebnissen aus statischen Analysetools.
Wenn Sie ein Analysetool eines Drittanbieters oder ein CI/CD-System verwenden, um Code auf Sicherheitsrisiken zu überprüfen, können Sie eine SARIF-Datei generieren und in GitHubhochladen. GitHub analysiert die SARIF-Datei und zeigt Warnmeldungen anhand der Ergebnisse in Ihrem Repository als Teil der code scanning-Funktionalität an.
GitHub verwendet Eigenschaften in der SARIF-Datei, um Warnungen anzuzeigen. Beispielsweise werden shortDescription und fullDescription oben in einer code scanning-Warnung angezeigt. Das location ermöglicht GitHub, Anmerkungen in Ihrer Codedatei anzuzeigen.
In diesem Artikel wird erläutert, wie SARIF-Dateien auf GitHubverwendet werden. Wenn Sie SARIF noch nicht kennen und mehr erfahren möchten, besuchen Sie das SARIF tutorials Repository von Microsoft.
Versionsanforderungen
Code scanning unterstützt eine Teilmenge des SARIF 2.1.0 JSON-Schemas. Stellen Sie sicher, dass SARIF-Dateien von Drittanbietertools diese Version verwenden.
Upload-Methoden
Sie können eine SARIF-Datei mit GitHub Actions, der code scanning API oder der CodeQL CLI hochladen. Die beste Uploadmethode hängt davon ab, wie Sie die SARIF-Datei generieren. Weitere Informationen finden Sie unter Hochladen einer SARIF-Datei in GitHub.