Remarque
Si vous utilisez la configuration par défaut pour code scanning, ou une configuration avancée qui utilise GitHub Actions pour exécuter l’action CodeQL, vous n’avez pas besoin d’interagir avec les fichiers SARIF. Les résultats de l'analyse sont téléchargés et interprétés automatiquement en tant qu'alertes code scanning.
SARIF est un format d’échange de résultats d’analyse statique. Il s’agit d’une norme JSON pour stocker les résultats à partir d’outils d’analyse statique.
Si vous utilisez un outil d’analyse tiers ou un système CI/CD pour analyser le code des vulnérabilités, vous pouvez générer un fichier SARIF et le charger sur GitHub. GitHub analyse le fichier SARIF et affiche des alertes en utilisant les résultats dans votre dépôt dans le cadre de l’expérience d’code scanning.
GitHub utilise des propriétés dans le fichier SARIF pour afficher des alertes. Par exemple, les propriétés shortDescription et fullDescription apparaissent en haut d’une alerte d’code scanning. Le location permet à GitHub d’afficher les annotations dans votre fichier de code.
Cet article explique comment les fichiers SARIF sont utilisés sur GitHub. Si vous débutez avec SARIF et que vous souhaitez en savoir plus, consultez le dépôt SARIF tutorials de Microsoft.
Exigences de version
Code scanning prend en charge un sous-ensemble du schéma JSON SARIF 2.1.0 . Vérifiez que les fichiers SARIF des outils tiers utilisent cette version.
Méthodes de chargement
Vous pouvez charger un fichier SARIF à l’aide de GitHub Actions, de l’API code scanning ou de CodeQL CLI. La meilleure méthode de chargement dépend de la façon dont vous générez le fichier SARIF. Pour plus d’informations, consultez « Chargement d’un fichier SARIF sur GitHub ».