GitHub リポジトリーをスキャンする

静的分析スキャンは、パブリック GitHub リポジトリーから直接ソース・コードをプルするように設定およびスケジュールできます。SAST の検出結果をトリアージする際、ユーザーは GitHub.com 上で関連するソース・コードを直接確認できます。検出結果はファイル名またはパスでフィルタリングできます。

  1. 「スキャンの作成」ウィザードを使用して、スキャンを設定します。「アプリケーション」 > 「<アプリケーション>」 > 「スキャンの作成」 > 「SAST 静的分析: スキャンの作成」 > 「GitHub リポジトリーのスキャン」を選択します。
  2. 「GitHub 接続」タブで、「GitHub に接続」をクリックして GitHub にログインします。

    権限が付与されると、使用可能なリポジトリーが「リポジトリー」タブに表示されます。認証は 1 回だけ必要です。

  3. 「リポジトリー」タブで'使用可能なリポジトリーのリストからスキャンするリポジトリーとブランチを指定するか、リポジトリーの URL を指定します。
    使用可能なリポジトリーのリストからリポジトリーを選択する場合は、まず親を選択し、次にブランチを選択します。
    注: リポジトリーがリストに表示されていない場合は、プライベートである可能性があります。プライベート GitHub リポジトリーのスキャン」を参照してください。
    URL でリポジトリーを指定する場合は、フル・パスを含めます。例えば、https://github.com/HCL-TECH-SOFTWARE/AltoroJ です。
  4. 「スケジュール」タブで、スキャンをすぐに実行するように指定し、後で使用するためにスキャン設定を保存するか、反復スキャンをスケジュールします。
    • すぐにスキャン

      「スキャン」ボタンをクリックするとすぐにスキャンが実行されます。この時点で最大同時スキャン数が実行されている場合、スキャンはキューに追加され、キューの先頭に到達した時点で開始されます。

    • 後のために保存

      スキャンの設定は実行準備が整い、「スキャン」ページに「Configuration Saved」 (設定保存済み) というステータスで追加されます。保存済み設定は編集できません。

    • スケジュール
      • スキャンの開始日時を指定します。
      • スケジュールでスキャンを繰り返す場合は、頻度 (毎日、毎週、毎月) と詳細を指定します。
      • 再スキャンを停止するタイミングを示します。
  5. 「スキャン・オプション」タブで追加のスキャン・プリファレンスを指定します。
    • 個人スキャンとしてスキャンを実行するように指定します。個人スキャンのセキュリティー問題は、アプリケーション全体の問題には追加されません。
    • スキャンが完了したときに電子メール通知を受信するように選択します。
    • スキャン有効化チームによる介入を許可します。
  6. 「サマリー」タブで、必要に応じてスキャンに付けられたデフォルト名を編集し、スキャンの選択内容を確認します。
  7. スキャンの準備ができたら、「スキャン」をクリックします。