GitHub、コードの脆弱性などを発見してくれる「GitHub Code Scanning」正式版が提供開始。パブリックリポジトリには無料

GitHubは、リポジトリに保存されているソースコードをスキャンすることで脆弱性やエラーなどを発見してくれる新機能「GitHub Code Scanning」が正式版として提供開始されたことを明らかにしました。

Code scanning is here!

Prevent issues in code by automating security as a part of your workflow.
Free for public repositories
Developer-first, GitHub native
Enabled for GitHub Enterprise Cloud

Learn more! https://t.co/2SSCjb09Il

— GitHub (@github) September 30, 2020

GitHub Code Scanningは、昨年買収したSemmleのソフトウェアを基にした脆弱性解析エンジン「CodeQL」を用いてソースコードを解析します。

デフォルトではソースコードの解析は明示的に指定されたときのみ実行されるため、プログラマは開発時にソースコードに集中することができ、レビュー時など開発パイプラインの適切なタイミングでGitHub Actionsなどによって解析を行うことができます。

コードの中に脆弱性が発見された場合、その場所はもちろん、脆弱性の内容などの詳細、推奨される修正方法などまで表示されます。

対応するプログラミング言語は、C、C++、C#、Java、JavaScript、TypeScript、Python、Go。

GitHubのFree/Pro/Teamのいずれの利用者も、パブリックリポジトリに対して無料でGitHub Code Scanningを利用可能です。