About code scanning

You can use code scanning to find security vulnerabilities and errors in the code for your project on GitHub.

누가 이 기능을 사용할 수 있나요?

Code scanning은 다음 리포지토리 유형에서 사용할 수 있습니다.

  • GitHub.com에 대한 퍼블릭 리포지토리
  • GitHub Team, GitHub Enterprise Cloud 또는 GitHub Enterprise Server에 대한 조직 소유의 리포지토리로, GitHub Code Security 가 활성화되어 있습니다.

이 문서의 내용

Code scanning는 GitHub 리포지토리의 코드를 분석하여 보안 취약성 및 코딩 오류를 찾는 데 사용하는 기능입니다. 분석으로 식별되는 모든 문제는 리포지토리에 표시됩니다.

You can use code scanning to find, triage, and prioritize fixes for existing problems in your code. Code scanning also prevents developers from introducing new problems. You can schedule scans for specific days and times, or trigger scans when a specific event occurs in the repository, such as a push.

If code scanning finds a potential vulnerability or error in your code, GitHub displays an alert in the repository. After you fix the code that triggered the alert, GitHub closes the alert. For more information, see 코드 검사 경고 해결.

GitHub Copilot Autofix will suggest fixes for alerts from code scanning analysis, allowing developers to prevent and reduce vulnerabilities with less effort. For more information, see 코드 검사에 대한 Copilot Autofix의 책임 있는 사용.

To monitor results from code scanning across your repositories or your organization, you can use webhooks and the code scanning API. For information about the webhooks for code scanning, see 웹후크 이벤트 및 페이로드. For information about API endpoints, see 코드 검색에 대한 REST API 엔드포인트.

To get started with code scanning, see 코드 스캔을 위한 기본 설정 구성.

About billing for code scanning

Code scanning uses GitHub Actions, and each run of a code scanning workflow consumes minutes for GitHub Actions. For more information, see GitHub 작업 청구.

To use code scanning on a private repository, you will also need a license for GitHub Code Security. GitHub Advanced Security를 무료로 사용해 보는 방법에 대한 자세한 내용은 GitHub Advanced Security의 평가판 설정을(를) 참조하세요.

About tools for code scanning

You can configure code scanning to use the CodeQL product maintained by GitHub or a third-party code scanning tool.

About CodeQL analysis

CodeQL은 보안 검사를 자동화하기 위해 GitHub에서 개발한 코드 분석 엔진입니다. CodeQL을 사용하여 코드를 분석하고 결과를 code scanning 경고로 표시할 수 있습니다. For more information about CodeQL, see About code scanning with CodeQL.

About third-party code scanning tools

Code scanning는 SARIF(정적 분석 결과 교환 형식) 데이터를 출력하는 타사 코드 검색 도구와 상호 운용할 수 있습니다. SARIF는 개방형 표준입니다. 자세한 내용은 코드 검사에 대한 SARIF 지원을(를) 참조하세요.

You can run third-party analysis tools within GitHub using actions or within an external CI system. For more information, see 코드 스캔을 위한 고급 설정 구성 or GitHub에 SARIF 파일 업로드.

About the 도구 상태 페이지

The 도구 상태 페이지 shows useful information about all of your code scanning tools. If code scanning is not working as you'd expect, the 도구 상태 페이지 is a good starting point for debugging problems. For more information, see 코드 스캔을 위한 도구 상태 페이지 정보.