Github Code scanning

[Toshiki-Sakamoto]

https://qiita.com/Kobayashi2019/items/3ee85f61ad46178b80c7

コードをスキャンして隠された脆弱性を検出してくれる機能です。 GitHub Actionsで実行できる。

こういうものが追加されていたとは！！

実際試してみる

[Toshiki-Sakamoto]

何故か失敗する..

うーん AutoBuildで失敗する

↓ここにあるちょっとカスタマイズして再度試してみる https://iamninad.com/github-code-scanning/

[Toshiki-Sakamoto]

auto buildが失敗する場合は以下のコメントを外してください。 の行をコメントアウトしたが make No rule to make target 'bootstarp'. Stop. というエラーが出る

[Toshiki-Sakamoto]

https://docs.github.com/en/free-pro-team@latest/github/finding-security-vulnerabilities-and-errors-in-your-code/troubleshooting-the-codeql-workflow#no-code-found-during-the-build

こんな記事を見かけた。 調査

[Toshiki-Sakamoto]

https://docs.github.com/en/free-pro-team@latest/github/finding-security-vulnerabilities-and-errors-in-your-code/configuring-the-codeql-workflow-for-compiled-languages#adding-build-steps-for-a-compiled-language

C/C++, C# , java の場合 autobuildが失敗する可能性があると。そしてその場合はautobuildを消してみる（しかし失敗しているが..） そしてビルドステップを手動で追加する必要がある。

autobuildステップを削除した後、ステップのコメントを解除し、リポジトリに適したビルドコマンドを追加する必要がある。

たとえば、リポジトリに複数のコンパイル言語が含まれている場合言語に応じてビルドコマンドを変更できる。 c/c++, C#はautobuild, java は 手動でビルドするとか。

しかし C# で失敗してるんだよなぁ.. なんだろう

[Toshiki-Sakamoto]

あ！！！　もしかしたら https://docs.github.com/ja/free-pro-team@latest/github/finding-security-vulnerabilities-and-errors-in-your-code/configuring-the-codeql-workflow-for-compiled-languages この記事にある

autobuild プロセスは、次のアプローチを使用して C# に適したビルドメソッドを自動検出しようとします。

1. ルートに最も近いソリューション（.sln）またはプロジェクト（.csproj）ファイルで dotnet build を呼び出します。
2. ルートに最も近いソリューションまたはプロジェクトファイルで MSbuild（Linux）または MSBuild.exe（Windows）を呼び出します。 autobuild が最上位ディレクトリから同じ（最短）深度で複数のソリューションまたはプロジェクトファイルを検出した場合、それらすべてをビルドしようとします。
3. ビルドスクリプトのように見えるスクリプト、つまり build と build.sh（Linux の場合、この順序で）または build.bat、build.cmd、および build.exe（Windows の場合、この順序で）を呼び出します。

これか....? (.sln), (.csproj)がないのでdotnet buildが呼び出せない！

[Toshiki-Sakamoto]

(.sln), (.csproj)はUnityではユーザーに依存させるのでコミットしないようにしているが.. こみっとしてみるかあ？

[Toshiki-Sakamoto]

https://github.com/SakaToshi/Ling/pull/82 試した見た結果失敗。 Unityとかみ合わせがすごくわすそう..

対応やめることにする！