코드 검사에 대한 고급 설정 구성

고도로 사용자 지정 가능한 code scanning 구성이 필요하지 않은 경우 기본 설정을 code scanning사용하는 것이 좋습니다. 자세한 내용은 코드 검색을 위한 설정 유형 정보을(를) 참조하세요.

사전 요구 사항

리포지토리는 다음 요구 사항을 충족하면 고급 설정을 사용할 수 있습니다.

• 지원되는 언어를 사용하거나 타사 도구로 코드 검색 결과를 생성할 계획입니다.
• GitHub Actions이(가) 가동되었습니다.
• 퍼블릭으로 표시되거나 GitHub Code Security가 사용됩니다.

          code scanning와 CodeQL의 고급 설정 구성

          CodeQL 분석을 워크플로 파일을 만들고 편집하여 사용자 지정할 수 있습니다. 고급 설정을 선택하면 표준 워크플로 구문을 사용하여 사용자 지정하고 작업에 대한 CodeQL 옵션을 지정할 수 있는 기본 워크플로 파일이 생성됩니다. 
          [AUTOTITLE](/actions/using-workflows/about-workflows) 및 [AUTOTITLE](/code-security/code-scanning/creating-an-advanced-setup-for-code-scanning/customizing-your-advanced-setup-for-code-scanning)을(를) 참조하세요.

작업을 사용하여 code scanning를 실행하는 데는 몇 분 정도 걸립니다. 자세한 내용은 GitHub Actions 비용 청구을(를) 참조하세요.

1. GitHub에서 리포지토리의 기본 페이지로 이동합니다.

2. 리포지토리 이름 아래에서 Settings를 클릭합니다. "설정" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 설정을 클릭합니다.

   

3. 사이드바의 "Security" 섹션에서 Advanced Security 를 클릭합니다.

4. 아래로 스크롤하여 "Code Security분석" 행에서CodeQL**[설정**]을 선택한 다음 [ 고급] 을 클릭합니다.

   참고

   기본 설정에서 고급 설정으로 전환하는 경우 "CodeQL분석" 행에서 선택한 다음 고급으로 전환을 클릭합니다. 표시되는 팝업 창에서 CodeQL 사용 안 함을 클릭합니다.

   

5. 코드를 스캔하는 방법을 code scanning 사용자 지정하려면 워크플로를 편집합니다.

   일반적으로 변경하지 않고 CodeQL 분석 워크플로을(를) 커밋할 수 있습니다. 그러나 대부분의 타사 워크플로에는 추가 구성이 필요하므로 커밋하기 전에 워크플로의 설명을 읽어 봅니다.

   자세한 내용은 코드 검색을 위한 워크플로 구성 옵션 및 컴파일된 언어에 CodeQL 코드 스캐닝을(를) 참조하세요.

6. 커밋 변경 양식을 표시하려면 변경 내용 커밋... 을 클릭하세요.

   

7. 커밋 메시지 필드에 커밋 메시지를 입력하세요.

8. 기본 분기로 직접 커밋할지, 새 분기를 만들어 끌어오기 요청을 시작할지를 선택합니다.

9. 워크플로 파일을 기본 분기에 커밋하려면 새 파일 커밋을 클릭하거나, 파일을 새 분기에 커밋하려면 새 파일 제안을 클릭하세요.

10. 새 분기를 만든 경우 끌어오기 요청 만들기를 클릭하고, 변경 내용을 기본 분기에 병합하기 위해 끌어오기 요청을 여세요.

제안된 CodeQL 분석 워크플로에서, code scanning은 기본 분기나 보호된 분기로 변경 내용을 푸시하거나 기본 분기에 대해 풀 리퀘스트를 생성할 때마다 코드를 분석하도록 구성됩니다. 따라서 code scanning 이제 시작됩니다.

코드 검사에 대한 on:pull_request 및 on:push 트리거가 유용한 용도는 각기 다릅니다. 코드 검색을 위한 워크플로 구성 옵션 및 워크플로우 시작을(를) 참조하세요.

대량 활성화에 대한 자세한 내용은 CodeQL을 사용한 대규모 코드 검사의 고급 설정 구성하기을(를) 참조하세요.

          code scanning를 타사 액션을 사용하여 구성하기

          GitHub에는 CodeQL 작업뿐만 아니라 타사 작업을 위한 워크플로 템플릿도 포함됩니다. 워크플로 템플릿을 사용하는 것이 워크플로를 처음부터 작성하는 것보다 훨씬 쉽습니다.

작업을 사용하여 code scanning를 실행하는 데는 몇 분 정도 걸립니다. 자세한 내용은 GitHub Actions 비용 청구을(를) 참조하세요.

1. GitHub에서 리포지토리의 기본 페이지로 이동합니다.

2. 리포지토리 이름에서 작업을 클릭합니다.

   

3. 리포지토리에 이미 최소 1개의 워크플로가 구성되어 실행 중이면, 워크플로 템플릿을 표시하려면 새 워크플로를 클릭하세요. 현재 리포지토리에 대해 구성된 워크플로가 없는 경우 다음 단계로 이동합니다.

   

4. "워크플로 선택" 또는 "시작 GitHub Actions" 보기에서 "보안" 범주까지 아래로 스크롤하고 구성하려는 워크플로에서 구성 을 클릭합니다. 구성하려는 보안 워크플로를 찾기 위해 모두 보기를 클릭해야 할 수도 있습니다.

   

5. 워크플로의 지침에 따라 요구 사항에 맞게 사용자 지정하세요. 워크플로에 대한 보다 일반적인 도움말을 보려면, 워크플로 페이지의 오른쪽 창에서 설명서를 클릭하세요.

   

6. 구성 정의를 완료하면 새 워크플로를 기본 분기에 추가하세요.

   자세한 내용은 워크플로 템플릿 사용 및 코드 검색을 위한 워크플로 구성 옵션을(를) 참조하세요.

다음 단계

워크플로가 한 번 이상 성공적으로 실행되면 경고를 확인하고 해결할 준비가 되었습니다. 경고에 대한 code scanning 자세한 내용은 AUTOTITLE 및 AUTOTITLE 을 참조 하세요.

끌어오기 요청의 검증에서 실행이 어떻게 동작하는지 알아보려면 code scanning을 참조하세요. 자세한 내용은 끌어오기 요청에서 코드 검사 경고 심사을 확인하세요.

도구 상태 페이지에서 구성 code scanning에 대한 자세한 정보를 찾을 수 있습니다. 여기에는 각 스캔에 대한 타임스탬프와 스캔된 파일의 비율이 포함됩니다. 자세한 내용은 코드 검색에 도구 상태 페이지 사용을(를) 참조하세요.

추가 읽기

•         [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/triaging-code-scanning-alerts-in-pull-requests).
  

•         [AUTOTITLE](/account-and-profile/managing-subscriptions-and-notifications-on-github/setting-up-notifications/configuring-notifications#github-actions-notification-options).
  

•         [AUTOTITLE](/code-security/code-scanning/creating-an-advanced-setup-for-code-scanning/customizing-your-advanced-setup-for-code-scanning).
  

•         [AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/viewing-code-scanning-logs).