有効性チェック（GitHub がシークレットの有効性を検証する機能）は、パートナーパターンでのみ利用可能です。これらのシークレットは GitHub の信頼できるパートナー（AWS、Slack など）によって発行され、GitHub がトークンのアクティビティステータスを検証するための API を備えています。
カスタム パターンと高エントロピー パターンは、自動有効性チェックをサポートしていません。

フラグが付けられたコードが次のような実際のセキュリティ上の懸念ではない場合は、コード スキャン アラートを無視する必要があります。
テストファイル内のコード
設計上到達不可能または安全なコードパス
スキャナーからの誤検知
コードを修正すると、アラートは自動的に解決されますが、無視されるわけではありません。無視するのは、有効な例外が発生した場合やノイズを軽減する場合に限ります。

コミット後に削除されたシークレットは、リポジトリのGit履歴から引き続きアクセスできます。それらを見つけるには、「コミット」タブに移動してください。GitHubのシークレットスキャンは、現在のコミットと過去のコミットの両方でシークレットを検出できるため、修復には最新のコードからシークレットを削除するだけでなく、シークレットの取り消しも含める必要があります。

これら 3 つの機能により、完全な防御層が提供されます。
コードスキャンはソースコード内のセキュリティ上の欠陥を特定します
シークレットスキャンは公開された資格情報を検出します
依存関係レビューでは、プル リクエスト中のパッケージ変更の影響が表示されます。これらを組み合わせることで、開発者は SDLC 全体のリスクと範囲に関する実用的な洞察を得ることができます。

コンパイル言語の場合、CodeQLは通常のビルドプロセスを監視して抽出を実行します。つまり、通常のビルドコマンド（make、javac、dotnet buildなど）を監視し、実行中のビルドステップから関連データを抽出します。CodeQLはこの情報を用いて、アプリケーションのセマンティックデータベースを構築します。
このアプローチにより、CodeQL は、プラットフォーム固有の構成やビルド中に使用される条件付きロジックなど、コンパイル時のコードとその動作の正確で現実的な表現をキャプチャできるようになります。