{"meta":{"title":"マルチリポジトリ バリアント分析を使用した大規模な CodeQL クエリの実行","intro":"CodeQLからGitHubで多数のリポジトリに対してVisual Studio Codeクエリを実行できます。","product":"セキュリティとコードの品質","breadcrumbs":[{"href":"/ja/code-security","title":"セキュリティとコードの品質"},{"href":"/ja/code-security/how-tos","title":"やり方"},{"href":"/ja/code-security/how-tos/find-and-fix-code-vulnerabilities","title":"コードの脆弱性を見つけて修正する"},{"href":"/ja/code-security/how-tos/find-and-fix-code-vulnerabilities/scan-from-vs-code","title":"VS Code からのスキャン"},{"href":"/ja/code-security/how-tos/find-and-fix-code-vulnerabilities/scan-from-vs-code/running-codeql-queries-at-scale-with-multi-repository-variant-analysis","title":"大規模なクエリの実行"}],"documentType":"article"},"body":"# マルチリポジトリ バリアント分析を使用した大規模な CodeQL クエリの実行\n\nCodeQLからGitHubで多数のリポジトリに対してVisual Studio Codeクエリを実行できます。\n\nマルチリポジトリバリアント分析 (MRVA) を使用すると、CodeQLからGitHub上の最大 1,000 個のリポジトリの一覧に対してVisual Studio Codeクエリを実行できます。\n\n## 前提条件\n\n* リポジトリを分析用の一覧に追加する前に、code scanningをGitHubで有効にし、CodeQLを使用する必要があります。既定のセットアップまたは高度なセットアップのいずれかを選択してください。\n  code scanningを使用してCodeQLを有効にする方法については、[コード スキャンの既定セットアップの構成](/ja/code-security/how-tos/scan-code-for-vulnerabilities/configure-code-scanning/configuring-default-setup-for-code-scanning) を参照してください。\n\n* 最初のマルチリポジトリ バリアント分析を実行する前に、コントローラー リポジトリを定義する必要があります。\n\n* コントローラー リポジトリは空でもかまいませんが、少なくとも 1 つのコミットが必要です。\n\n* GitHub.comでは、パブリック リポジトリのみを分析する予定の場合は、コントローラー リポジトリの可視性を \"パブリック\" にすることができます。 バリアント分析は無料です。\n\n* GitHub.com上のプライベート リポジトリまたは内部リポジトリを分析する必要がある場合は、コントローラー リポジトリの可視性を \"プライベート\" にする必要があります。\n\n無料制限を超えるプライベート リポジトリまたは内部リポジトリでバリアント分析を実行するために使用するアクション (分) はすべて、リポジトリの所有者に課金されます。 無料分と課金の詳細については、 [GitHub Actions の課金](/ja/billing/managing-billing-for-github-actions/about-billing-for-github-actions) を参照してください。\n\n## MRVA 用のコントローラー リポジトリの設定\n\n1. \\[バリアント分析リポジトリ] ビューで、**\\[コントローラー リポジトリの設定]** をクリックして、コントローラー リポジトリのフィールドを表示します。\n\n   ![\\[バリアント分析リポジトリ\\] ビューのスクリーンショット。 \\[コントローラー リポジトリのセットアップ\\] ボタンが濃いオレンジ色で強調表示されています。](/assets/images/help/security/codeql-for-vs-code-controller-repository.png)\n\n2. コントローラー リポジトリとして使用する GitHub に、リポジトリの所有者と名前を入力し、 **Enter** キーを押します。\n\n3. ```\n          GitHubで認証するように求められたら、指示に従ってアカウントにサインインします。 完了したら、GitHub認証から開く許可を求めるメッセージが表示される場合があります。Visual Studio Codeで「**開く**」をクリックしてください。\n   ```\n\nコントローラー リポジトリの名前は、 CodeQL 拡張機能の設定に保存されます。 コントローラー リポジトリを編集する方法については、「[設定のカスタマイズ](/ja/code-security/codeql-for-vs-code/using-the-advanced-functionality-of-the-codeql-for-vs-code-extension/customizing-settings)」を参照してください。\n\n## MRVA を使用した大規模なクエリの実行\n\n1. 既定では、\\[バリアント分析リポジトリ] ビューには、分析する言語の GitHub.com の上位 10 個、上位 100 個、上位 1000 個のパブリック リポジトリの既定のリストが表示されます。 コントローラー リポジトリが SUBDOMAIN.ghe.com でホストされている場合、これらのリストは使用できません。\n\n2. 必要に応じて、新しいリポジトリ、組織、リストを追加できます。\n\n   1. \\[バリアント分析リポジトリ] ビューで、**\\[+]** をクリックして新しいデータベースを追加します。\n\n   2. ドロップダウン メニュー **から、 GitHub リポジトリ** または **組織または所有者のすべてのリポジトリから GitHub 選択します**。\n\n   3. フィールドに、使用するリポジトリまたは組織の識別子を入力します。\n\n3. クエリを実行する1つ以上のリポジトリを選択してください。\n\n   ![\\[バリアント分析リポジトリ\\] ビューのスクリーンショット。 \"octo-org/octo-repo\" 行は青で強調表示され、その \\[選択\\] ボタンはオレンジ色で囲まれています。](/assets/images/help/security/codeql-for-vs-code-variant-analysis-repo-lists.png)\n\n4. 実行するクエリを開き、クエリ ファイルを右クリックし、\\[ **CodeQL: バリアント分析の実行** ] を選択してバリアント分析を開始します。\n\n> \\[!NOTE]\n> バリアント分析の実行をキャンセルするには、\\[バリアント分析結果] ビューで **\\[Stop query]** をクリックします。\n\n## 単一の GitHub リポジトリまたは組織を分析用に選択する\n\n1. \\[バリアント分析リポジトリ] ビューで、**\\[+]** をクリックして新しいデータベースを追加します。\n\n2. ドロップダウン メニュー **から、 GitHub リポジトリ** または **組織または所有者のすべてのリポジトリから GitHub 選択します**。\n\n3. フィールドに、使用するリポジトリまたは組織の識別子を入力します。\n\n### エラーと警告\n\nMRVA を実行すると、エラーと警告が 2 つの主要な場所に表示されます。\n\n* Visual Studio Code errors: CodeQL パックの作成と GitHub への分析の送信に関する問題は、アプリケーションの右下隅に Visual Studio Code エラーとして報告されます。 情報は、\\[問題] ビューでも確認できます。\n\n* バリアント分析結果: バリアント分析の実行に関する問題は、このビューで報告されます。\n\n## 結果の検討\n\n```\n          GitHubでバリアント分析を実行するワークフローが実行されるとすぐに、[バリアント分析結果] ビューが開き、準備ができたら結果が表示されます。 このビューを使用すると、進行状況の監視、エラーの確認、コントローラー リポジトリ内のワークフロー ログへのアクセスを行うことができます。\n```\n\n![\"FileAccessToHttp.ql\" の実行を示す \\[バリアント分析結果\\] のスクリーンショット。 青い円は、検出された結果の数を示し、\"-\" は実行中を示しています。](/assets/images/help/security/codeql-for-vs-code-variant-analysis-results-view.png)\n\nバリアント分析の実行がスケジュールされている場合、\\[結果] ビューは自動的に開きます。 最初に、このビューには、分析用にスケジュールされたすべてのリポジトリの一覧が表示されます。 各リポジトリが分析されると、ビューが更新され、結果の数の概要が表示されます。 リポジトリの詳細な結果 (結果パスを含む) を表示するには、リポジトリ名をクリックします。\n\nリポジトリごとに、次の情報が表示されます。\n\n* クエリで見つかる結果の数\n\n* リポジトリの表示範囲\n\n* 分析がまだ実行中か完了しているか\n\n* リポジトリが持つ星の数 GitHub\n\n### リポジトリの結果の表示\n\n1. リポジトリ名をクリックすると、各結果の概要が表示されます。\n\n2. ```\n          GitHubのソース ファイルへのリンクを使用して、各結果で使用可能な情報を確認します。 データ フロー クエリの場合は、[パスの表示] リンクもあります。\n   ```\n\n   ![GitHub ソース ファイルへの青いリンクが表示された \\[バリアント分析結果\\] ビューのスクリーンショット。 \\[パスの表示\\] リンクが濃いオレンジ色の枠線で強調表示されています。](/assets/images/help/security/codeql-for-vs-code-variant-analysis-result.png)\n\n### 結果をエクスポートする\n\n結果をエクスポートしてさらに分析したり、コラボレーターと検討したりすることができます。 \\[結果] ビューで、\\[結果の **エクスポート** ] をクリックして、結果を GitHub のシークレット gist またはワークスペース内の Markdown ファイルにエクスポートします。\n\n## リポジトリのカスタム リストの作成\n\n> \\[!NOTE]\n\n```\n          CodeQL 分析には、クエリを実行する CodeQL データベースが常に必要です。 リポジトリの一覧に対してバリアント分析を実行すると、クエリは現在、 CodeQL データベースをダウンロードできるリポジトリに対してのみ実行されます。 リポジトリをバリアント分析に使用できるようにする最善の方法は、code scanningでCodeQLを有効にすることです。 \n```\n\n```\n          code scanningを使用してCodeQLを有効にする方法については、[AUTOTITLE](/code-security/how-tos/scan-code-for-vulnerabilities/configure-code-scanning/configuring-default-setup-for-code-scanning) を参照してください。\n```\n\n1. \\[バリアント分析リポジトリ] ビューで、\\[リストの追加] アイコンをクリックします。\n\n   ![\\[バリアント分析結果\\] ビューのスクリーンショット。 \\[add-list\\] アイコンが濃いオレンジ色で強調表示されています。](/assets/images/help/security/codeql-for-vs-code-add-list.png)\n\n2. 新しいリストの名前を入力し、Enterキーを押します。\n\n3. ビューでリストを選択し、**\\[+]** をクリックしてリポジトリをリストに追加します。\n\n### リポジトリのカスタム リストの管理\n\nリスト名またはリスト内のリポジトリ名を右クリックし、コンテキスト メニューからオプションを選択することで、カスタム リストを管理および編集できます。\n\nカスタム リストは、ワークスペース内の `databases.json` ファイルに格納されます。 このファイルを Visual Studio Codeで直接編集する場合は、ビュー ヘッダーで **{}** をクリックして開くことができます。\n\nたとえば、クエリの結果を含むリポジトリのセットを引き続き分析する場合は、\\[バリアント分析結果] ビューの **\\[リポジトリ リストのコピー]** をクリックして、結果を含むリポジトリのみの一覧を JSON としてクリップボードに追加します。\n\n次のスニペットの例では、`my-organization/my-repository` にクエリの結果が含まれています。\n\n```json\n{\n    \"name\": \"new-repo-list\",\n    \"repositories\": [\n        \"my-organization/my-repository\"\n    ]\n}\n```\n\nその後、\\[バリアント分析リポジトリ] ビューで簡単にアクセスできるように、`new-repo-list` へリポジトリの `databases.json` を挿入します。\n\n###\n\n```\n          GitHubコード検索を使用してリポジトリをカスタム リストに追加する\n```\n\n> \\[!NOTE]\n> この機能では、 GitHub コード検索 API を使用して従来のコード検索を使用します。 使用する構文について詳しくは、「[コード  (レガシー) の検索](/ja/search-github/searching-on-github/searching-code)」を参照してください。\n\n```\n          CodeQL拡張機能でコード検索を直接使用して、GitHubのリポジトリのサブセットをカスタム リストに追加できます。\n```\n\nたとえば、`rails`にGitHub組織内のすべてのリポジトリを追加するには、`org:rails`を検索します。\n\n検索を行うごとに、最大 1,000 個のリポジトリをカスタム リストに追加できます。\n\n1. \\[バリアント分析リポジトリ] ビューで、リポジトリを追加するリストを選択します。 新しいリストを作成することも、リポジトリが既に含まれている既存のリストを選択することもできます。\n\n2. 選択した一覧を右クリックし、\\[コード検索を使用して **リポジトリ GitHub 追加**] をクリックします。\n\n3. アプリケーションの上部に表示されるポップアップで、検索バーの下にあるドロップダウンの選択肢から検索する言語を選択します。\n\n4. 検索バーに、使用する検索クエリを入力し、**Enter** キーを押します。\n\nテキスト `Searching for repositories...` が表示されたボックスで、アプリケーションの右下隅に検索の進行状況を表示できます。\n**\\[キャンセル]** をクリックすると、リポジトリは一覧に追加されません。 完了すると、結果のリポジトリが \\[バリアント分析リポジトリ] ビューのカスタム リストの下のドロップダウンに表示されます。\n\n結果として得られるリポジトリの中には、CodeQLデータベースを持たないものもあれば、CodeQLのVisual Studio Code拡張機能によるアクセスを許可しないものもあります。 一覧で分析を実行すると、\\[バリアント分析結果] ビューに、分析されたリポジトリ、アクセスが拒否されたリポジトリ、 CodeQL データベースがなかったリポジトリが表示されます。\n\n## セルフホステッド ランナーに対する複数リポジトリバリアント分析を使用した CodeQL クエリの実行\n\nセルフホステッド ランナーに対して複数リポジトリバリアント分析を使用して CodeQL クエリを実行するには、まず、コントローラー リポジトリにセルフホステッド ランナーが追加されていることを確認するか、コントローラー リポジトリが組織レベルまたはエンタープライズ レベルのランナーにアクセスできることを確認する必要があります。\n\n次に、使うセルフホステッド ランナーの JSON 形式のラベル一覧を含め、`MRVA_RUNNER_OS` という新しいアクション リポジトリ変数をコントローラー リポジトリに追加する必要があります。 例えば次が挙げられます。\n\n```json\n[\"self-hosted\", \"macOS\", \"ARM64\"]\n```\n\n> \\[!NOTE]\n> コントローラー リポジトリの設定のアクション リポジトリ変数の下に `MRVA_RUNNER_OS` 変数を設定する必要があります。アクション設定やワークフローの `.yml` ファイル内の環境変数やアクション シークレットではありません。\n> 「[変数に情報を格納する](/ja/actions/writing-workflows/choosing-what-your-workflow-does/store-information-in-variables#creating-configuration-variables-for-a-repository)」を参照してください。\n\n詳細については、「[自己ホストランナーの追加](/ja/actions/hosting-your-own-runners/managing-self-hosted-runners/adding-self-hosted-runners#adding-a-self-hosted-runner-to-a-repository)」および「[グループを使用してセルフホストランナーへのアクセスを管理する](/ja/actions/hosting-your-own-runners/managing-self-hosted-runners/managing-access-to-self-hosted-runners-using-groups#changing-which-repositories-can-access-a-runner-group)」を参照してください。\n\nセルフホステッド ランナー上でマルチリポジトリ バリアント分析を含むクエリを実行した場合、分析は完全にセルフホステッド ランナー上で実行されます。 新しいワークフローを作成する必要はありませんが、CodeQL拡張機能のVisual Studio Codeがコントローラー リポジトリとして使用するリポジトリを指定する必要があります。 各リポジトリの分析が完了すると、結果が VS Code に送信され、表示されます。"}