참고 항목
사이트 관리자가 먼저 code scanning을 사용하도록 설정해야 이 기능을 사용할 수 있습니다. 자세한 내용은 어플라이언스에 대한 코드 스캐닝 구성을(를) 참조하세요.
엔터프라이즈 소유자가 엔터프라이즈 수준에서 GitHub Advanced Security 정책을 설정한 경우 code scanning을 사용하거나 사용하지 않도록 설정할 수 없습니다. 자세한 내용은 엔터프라이즈에 대한 코드 보안 및 분석을 위한 정책 적용을(를) 참조하세요.
도구 상태 페이지 정보
도구 상태 페이지에는 사용자의 모든 code scanning 도구에 대한 유용한 정보가 표시됩니다. code scanning이(가) 예상대로 작동하지 않는다면, 도구 상태 페이지는 문제를 디버그하기 위한 좋은 시작점입니다.
도구 상태 페이지를 사용하면 리포지토리에 대해 코드 검사 도구가 얼마나 잘 작동하는지, 리포지토리의 파일이 처음 스캔된 시점과 가장 최근에 스캔된 시점, 그리고 스캔이 예약된 시점을 확인할 수 있습니다. CodeQL과(와) 같은 통합 도구의 경우 스캔된 파일의 백분율과 구체적인 오류 메시지를 포함한 더 자세한 정보도 확인할 수 있습니다.
또한 code scanning 도구의 각 구성에서 코드가 확인된 규칙을 확인하고 결과 요약을 다운로드할 수 있습니다.
참고 항목
도구 상태 페이지는 조직 수준이 아니라 리포지토리 수준에서 도구가 어떻게 작동하는지를 표시합니다. 도구 상태는 해당 도구가 구성된 리포지토리의 기본 분기에 대해서만 표시됩니다.
리포지토리의 도구 상태 페이지 보기
각 리포지토리의 코드 검사 경고 페이지에는 코드 검사 분석 상태 요약과 설정을 살펴볼 수 있도록 도구 상태 페이지에 대한 액세스를 제공하는 도구 배너가 포함됩니다.
- GitHub에서 리포지토리의 기본 페이지로 이동합니다.
- 리포지토리 이름에서 Security를 클릭합니다. "Security" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음, Security를 클릭합니다.
- 왼쪽 사이드바에서 Code scanning 을 클릭합니다.
- 도구 배너에서 도구 상태를 클릭하세요.
도구 상태 페이지 사용
도구 상태 페이지에서 사이드바에 강조 표시된 한 도구의 요약이 표시됩니다. 사이드바를 사용하여 다른 도구의 요약을 볼 수 있습니다.
CodeQL과(와) 같은 통합 도구의 경우, 프로그래밍 언어별로 정리된 리포지토리에서 가장 최근에 스캔된 모든 파일의 전체 백분율을 확인할 수 있습니다. CodeQL에서 어떤 파일을 스캔된 것으로 정의하는지에 대한 자세한 내용은 CodeQL에서 스캔된 파일을 정의하는 방법을 참조하세요. CSV 형식으로 자세한 언어 보고서를 다운로드할 수도 있습니다. 자세한 내용은 분석된 파일의 세부 정보 다운로드를 참조하세요.
가능한 도구 상태는 세 가지입니다: 모든 구성이 작동함, 일부 구성에 주의가 필요함, 일부 구성이 작동하지 않음.
도구에 대한 자세한 정보 액세스
현재 표시된 도구에 대한 더 자세한 정보를 보려면 “설정 유형”에서 특정 설정을 선택할 수 있습니다.
화면 왼쪽의 “구성” 아래에서 이 설정 유형으로 실행된 각 분석에 대한 정보와 관련 오류 메시지를 확인할 수 있습니다. 가장 최근 분석 실행에 대한 자세한 정보를 보려면 사이드바에서 구성을 선택하세요. 해당 코드 스캔에서 정확히 어떤 규칙이 실행되었는지와 각 규칙에서 발견된 경고 수에 대한 세부 정보를 다운로드할 수 있습니다. 자세한 내용은 사용된 규칙 목록 다운로드를 참조하세요.
이 보기에는 오류 메시지도 표시됩니다. 자세한 내용은 도구 상태 페이지를 사용하여 디버그하기를 참조하세요.
CodeQL에서 스캔된 파일을 정의하는 방법
파일에 포함된 코드 줄 일부가 처리되면 CodeQL에서 해당 파일을 스캔됨으로 보고합니다. CodeQL action의 표준 구성을 사용하고 있다면, 도구 상태 페이지에 표시되는 스캔된 파일에는 CodeQL이(가) 분석할 수 있는 모든 언어의 소스 코드 파일이 포함됩니다. 고급 설정을 사용하는 경우, 선택적으로 paths 및 paths-ignore 구성 속성을 사용하여 인터프리터 언어의 어떤 파일을 스캔할지 정의할 수 있습니다. 자세한 내용은 CodeQL을 사용하는 코드 검사 안내 및 코드 검사를 위한 고급 설정을 사용자 지정하기을(를) 참조하세요.
컴파일된 언어의 경우 도구 상태 페이지는 자동 빌드 또는 수동 빌드 단계 실행 전에 존재했던 파일을 보고합니다. 즉, 빌드 프로세스 중에 생성된 파일은 도구 상태 페이지에 표시되지 않습니다. 자세한 내용은 컴파일된 언어에 CodeQL 코드 스캐닝을(를) 참조하세요.
도구 상태 페이지는 CodeQL에서 지원하는 각 언어에 대해 CodeQL에서 스캔한 파일의 백분율을 계산합니다. 이 백분율은 paths 및 paths-ignore 구성 속성에 의해 제외된 모든 파일을 반영합니다.
분석된 파일의 세부 정보 다운로드
CodeQL과(와) 같은 통합 도구의 경우 도구 상태 페이지에서 CSV 형식의 자세한 보고서를 다운로드할 수 있습니다. 그러면 다음 내용이 표시됩니다.
- 각 파일을 스캔하는 데 사용된 구성.
- 파일 경로.
- 파일의 프로그래밍 언어.
- 파일이 성공적으로 추출되었는지 여부.
보고서를 다운로드하려면 관심 있는 도구를 선택하세요. 그런 다음 페이지 오른쪽 상단에서 버튼을 클릭하세요.
사용된 규칙 목록 다운로드
code scanning이(가) 확인하는 규칙 목록을 CSV 형식으로 다운로드할 수 있습니다. 그러면 다음 내용이 표시됩니다.
- 사용된 구성.
- 규칙 소스.
- SARIF 식별자.
- 발견된 경고 수.
보고서를 다운로드하려면 관심 있는 구성을 선택하세요. 그런 다음 페이지 오른쪽 상단에서 을(를) 클릭하고 사용된 규칙 목록 다운로드를 선택하세요.
구성 제거
리포지토리의 기본 분기에 대해 오래되었거나 중복되었거나 원치 않는 구성을 제거할 수 있습니다.
구성을 제거하려면 삭제하려는 구성을 선택하세요. 그런 다음 페이지 오른쪽 상단에서 을(를) 클릭하고 구성 삭제를 선택하세요. 경고를 읽은 후 삭제를 확인하려면 삭제 버튼을 클릭하세요.
참고 항목
도구 상태 페이지는 리포지토리의 기본 분기에 대한 구성만 제거하는 데 사용할 수 있습니다. 기본이 아닌 분기에서 구성을 제거하는 방법에 대한 자세한 내용은 코드 검사 경고 해결을(를) 참조하세요.
도구 상태 페이지를 사용하여 디버그하기
code scanning 경고 페이지에서 분석에 문제가 있는 것으로 보이면 도구 상태 페이지을(를) 사용하여 문제를 식별할 수 있습니다. 통합 도구의 경우, 특정 code scanning 도구와 관련된 구체적인 오류 메시지를 자세한 정보 섹션에서 확인할 수 있습니다. 이러한 오류 메시지에는 도구가 예상대로 수행되지 않을 수 있는 이유와 취할 수 있는 조치에 대한 정보가 포함됩니다. 도구 상태 페이지의 이 섹션에 액세스하는 방법에 대한 자세한 내용은 도구에 대한 자세한 정보 액세스를 참조하세요.
CodeQL과(와) 같은 통합 도구의 경우 파일 커버리지 정보를 사용하여 분석을 개선할 수도 있습니다. 도구 상태 페이지에 표시된 각 언어에 대해:
- 해당 언어의 스캔 백분율이 높으면 코드 검사가 그 언어를 예상대로 스캔하고 있음을 나타냅니다.
- 해당 언어의 스캔 백분율이 낮으면 그 언어에 대해 CodeQL에서 생성한 진단 출력을 조사하는 것이 좋습니다: 자세한 내용은 CodeQL이 예상보다 적은 줄을 스캔했습니다.을(를) 참조하세요.
- 해당 언어의 스캔 백분율이 0이면, 리포지토리에 CodeQL에서 지원하지만 현재 CodeQL(으)로는 분석되지 않는 언어로 작성된 소스 코드가 있을 수 있습니다. 이 경우 설정을 업데이트하여 이러한 추가 언어 분석을 시작하는 것이 좋습니다. 자세한 내용은 코드 검사를 위한 고급 설정을 사용자 지정하기을(를) 참조하세요.
참고 항목
같은 리포지토리에서 고급 설정을 사용하여 CodeQL을(를) 설정한 다음 기본 설정을 설정했다면, 도구 상태 페이지에는 기본 설정만 표시됩니다.
자세한 내용은 분석 오류 문제 해결 및 Troubleshooting을(를) 참조하세요.