GitHub リポジトリーのスキャン

静的分析スキャンは、パブリック GitHub リポジトリーから直接ソース・コードを取得するように構成して、スケジュールすることができます。SAST の検出結果のトリアージを行う際に、ユーザーは関連するソース・コードを GitHub.com で直接表示できます。検出結果はファイル名またはパスでフィルタリングできます。

  1. 「スキャンの作成」ウィザードを使用して、スキャンを構成します。「アプリケーション」 > 「<アプリケーション>」 > 「スキャンの作成」 > 「SAST 静的分析」: 「スキャンの作成」 > 「GitHub リポジトリーのスキャン」を選択します。
  2. 「GitHub リポジトリー」タブで、「GitHub に接続」をクリックして GitHub にログインします。

    権限が付与されると、使用可能なリポジトリーが下にリスト表示されます。認証は 1 回だけ必要です。

  3. 使用可能なリポジトリーのリストからスキャンするリポジトリーとブランチを指定するか、リポジトリーの URL を指定します。
    使用可能なリポジトリーのリストからリポジトリーを選択する場合は、まず親を選択し、次にブランチを選択します。
    注: リポジトリーがリストに表示されていない場合は、それがプライベートになっている可能性があります。「プライベート GitHub リポジトリーのスキャン」を参照してください。

    URL でリポジトリーを指定する場合は、フルパスを含めます。例えば、https://github.com/HCL-TECH-SOFTWARE/AltoroJ などと指定します。

  4. 「スケジュール」 タブでは、スキャンの即時実行、後で使用するためのスキャン構成の保存、反復スキャンのスケジュールが可能です。
    • すぐにスキャン

      「スキャン」ボタンをクリックすると、すぐにスキャンが実行されます。この時点で最大数の同時スキャンが実行されている場合、スキャンはキューに追加され、キューの先頭に到達した時点で開始されます。

    • 後のために保存

      スキャンの構成を実行する準備が整うと、「スキャン」ページに「構成が保存されました」という状況が表示されます。保存された構成は編集できません。

    • スケジュール
      • スキャンの開始日時を指定します。
      • スケジュールでスキャンを繰り返す場合は、頻度 (毎日、毎週、毎月) と詳細を指定します。
      • 再スキャンを停止するタイミングを指定します。
  5. 「スキャン・オプション」 タブで追加のスキャン・プリファレンスを指定します。
    • スキャンを個人スキャンとして実行し、そのセキュリティーの問題がアプリケーション全体の問題として追加されないようにすることができます。
    • スキャン完了後に E メールを送信するデフォルト・オプションも選択できます。
    • 当社のスキャン有効化チームによる介入を許可します。
  6. 「概要」タブで、必要に応じてスキャンに付けられたデフォルト名を編集し、スキャンの選択内容を確認します。
  7. スキャンの準備ができたら、「スキャン」をクリックします。