我们想在github操作中集成brakeman代码扫描工具,并将vuln生成到sarif文件中,并将sarif文件发布到工作流中的“代码扫描警报”中。
name: Upload SARIF file
uses: github/codeql-action/upload-sarif@v1
with:
# Path to SARIF file relative to the root of the repository
sarif_file: results.sarif
它可以正常工作。
但是在私有仓库中,github需要我们公司付钱才能启用扫码。我们很穷,我们没有启用该功能的预算,我们可以将漏洞发布到“安全建议”吗?是否有任何 github api 支持?