Observação
Se você usar a configuração padrão para code scanning ou uma configuração avançada que envolva o uso de GitHub Actions para executar a ação CodeQL, não será necessário interagir com os arquivos SARIF. Os resultados do escaneamento são carregados e analisados como alertas code scanning automaticamente.
SARIF significa formato de intercâmbio de resultados de análise estática. Esse é um padrão baseado em JSON para armazenar resultados de ferramentas de análise estática.
Se você usar uma ferramenta de análise de terceiros ou um sistema de CI/CD para verificar o código em busca de vulnerabilidades, poderá gerar um arquivo SARIF e carregá-lo em GitHub. GitHub analisará o arquivo SARIF e mostrará alertas usando os resultados em seu repositório como parte da experiência de code scanning.
GitHub usa propriedades no arquivo SARIF para exibir alertas. Por exemplo, a shortDescription e a fullDescription são exibidas na parte superior de um alerta da code scanning. O location permite que o GitHub mostre anotações em seu arquivo de código.
Este artigo explica como os arquivos SARIF são usados em GitHub. Se estiver familiarizado com o SARIF e quiser saber mais, consulte o repositório SARIF tutorials da Microsoft.
Requisitos de versão
Code scanning dá suporte a um subconjunto do JSON schema SARIF 2.1.0. Verifique se os arquivos SARIF de ferramentas de terceiros usam essa versão.
Métodos de upload
Você pode fazer upload de um arquivo SARIF usando GitHub Actions, a API code scanning ou o CodeQL CLI. O melhor método de upload depende de como você gera o arquivo SARIF. Para saber mais, confira Fazer o upload de arquivo SARIF para o GitHub.