Configuration avancée de l’analyse du code

Vous pouvez configurer une configuration avancée pour un dépôt afin de détecter des vulnérabilités de sécurité dans votre code à l’aide d’une configuration code scanning hautement personnalisable.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de référentiels, propriétaire d’organisations, gestionnaires de sécurité et utilisateurs avec le rôle d’administrateur

Code scanning est disponible pour les types de référentiels suivants :

  • Des référentiels publics sur GitHub.com
  • Référentiels appartenant à l’organisation sur GitHub Team, GitHub Enterprise Cloud, ou GitHub Enterprise Server, avec GitHub Advanced Security activé.

Dans cet article

Remarque

Votre administrateur de site doit activer l’code scanning avant de pouvoir utiliser cette fonctionnalité. Si vous souhaitez utiliser GitHub Actions pour analyser votre code, l’administrateur de site doit également activer GitHub Actions et configurer l’infrastructure nécessaire. Pour plus d’informations, consultez « Configuration de l’analyse de code pour votre appliance ».

Remarque

Cet article décrit les fonctionnalités disponibles avec la version de l’action CodeQL et le pack CodeQL CLI associé inclus dans la mise en production initiale de cette version de GitHub Enterprise Server. Si votre entreprise utilise une version plus récente de l’action CodeQL, consultez la version GitHub Enterprise Cloud de cet article pour obtenir plus d’informations sur les dernières fonctionnalités. Pour plus d’informations sur l’utilisation de la dernière version, consultez Configuration de l’analyse de code pour votre appliance.

Si vous n’avez pas besoin d’une configuration code scanning hautement personnalisable, envisagez d’utiliser la configuration par défaut pour code scanning. Pour plus d’informations, consultez « À propos des types d’installation pour l’analyse du code ».

Prerequisites

Votre dépôt est éligible à la configuration avancée s’il répond aux exigences suivantes.

  • Il utilise des langages pris en charge par CodeQL ou vous prévoyez de générer des résultats d’analyse de code avec un outil tiers.

Si le serveur sur lequel vous exécutez GitHub Enterprise Server n’est pas connecté à Internet, l’administrateur de votre site peut activer CodeQL code scanning en mettant le bundle d’analyse CodeQL à disposition sur le serveur. Pour plus d’informations, consultez « Configuration de l’analyse de code pour votre appliance ».

Définition de la configuration avancée pour l’code scanning avec CodeQL

Vous pouvez personnaliser votre analyse CodeQL en créant et en modifiant un fichier de workflow. La sélection de la configuration avancée génère un fichier de workflow de base que vous pouvez personnaliser à l’aide de la syntaxe standard des workflows et en spécifiant les options de l’action CodeQL. Consultez Workflows et Personnalisation de votre configuration avancée pour l’analyse de code.

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre référentiel, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Code security.

  4. Faites défiler jusqu’à « Code scanning », puis, dans la ligne « Analyse CodeQL », sélectionnez Configurer, puis cliquez sur Avancé.

    Remarque

    Si vous passez de la configuration par défaut à la configuration avancée, dans la ligne « Analyse CodeQL », sélectionnez le , puis cliquez sur Passer à la configuration avancée. Dans la fenêtre indépendante qui s’affiche, cliquez sur Désactiver CodeQL .

    Capture d’écran de la section « Code scanning » des paramètres de « Code security ». Le bouton « Configuration avancée » est mis en évidence à l’aide d’un rectangle orange.

  5. Pour personnaliser la façon dont l’code scanning analyse votre code, modifiez le workflow.

    En règle générale, vous pouvez commiter le Workflow d’analyse CodeQL sans apporter aucun changement à celui-ci. Toutefois, de nombreux workflows tiers nécessitent une configuration supplémentaire. Lisez donc les commentaires dans le workflow avant de commiter.

    Pour plus d’informations, consultez « Personnalisation de votre configuration avancée pour l’analyse de code » et « Analyse CodeQL pour les langages compilés ».

  6. Cliquez sur Commiter les changements... pour afficher le formulaire de commit des changements.

    Capture d’écran du formulaire pour créer un nouveau fichier. À droite du nom du fichier, un bouton vert intitulé « Commiter les changements... » est encadré en orange foncé.

  7. Dans le champ de message de commit, tapez un message de commit.

  8. Indiquez si vous voulez commiter directement dans la branche par défaut ou créer une branche et démarrer une demande de tirage (pull request).

  9. Cliquez sur Commiter le nouveau fichier pour commiter le fichier de workflow dans la branche par défaut ou sur Proposer un nouveau fichier pour commiter le fichier dans une nouvelle branche.

  10. Si vous avez créé une branche, cliquez sur Créer une demande de tirage et ouvrez une demande de tirage pour fusionner votre changement dans la branche par défaut.

Dans le Workflow d’analyse CodeQL suggéré, l’code scanning est configurée pour analyser votre code chaque fois que vous poussez un changement vers la branche par défaut ou des branches protégées, ou que vous déclenchez une demande de tirage (pull request) sur la branche par défaut. En conséquence, l’code scanning commence.

Les déclencheurs on:pull_request et on:push pour l’analyse du code sont chacun utiles à des fins différentes. Consultez Personnalisation de votre configuration avancée pour l’analyse de code et Déclenchement d’un workflow.

Pour en savoir plus sur l’activation en bloc, consultez Définition d’une configuration avancée pour l’analyse de code avec CodeQL à grande échelle.

Étapes suivantes

Après l’exécution réussie de votre workflow au moins une fois, vous pouvez commencer à examiner et à résoudre les alertes code scanning. Pour en savoir plus sur les alertes générées par code scanning, consultez À propos des alertes d’analyse du code et Évaluation des alertes d’analyse du code pour votre référentiel.

Pour savoir comment les exécutions de code scanning se comportent en tant que vérifications sur les pull requests, consultez Triage des alertes d’analyse du code dans les demandes de tirage (pull request).

Vous trouverez des informations détaillées sur votre configuration d’code scanning, notamment des horodatages pour chaque analyse et le pourcentage de fichiers analysés, dans la page d’état de l’outil. Pour plus d’informations, consultez « Utiliser la page d’état de l’outil pour l’analyse du code ».

Lectures complémentaires

  •         [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/triaging-code-scanning-alerts-in-pull-requests).

  •         [AUTOTITLE](/account-and-profile/managing-subscriptions-and-notifications-on-github/setting-up-notifications/configuring-notifications#github-actions-notification-options).

  •         [AUTOTITLE](/code-security/code-scanning/creating-an-advanced-setup-for-code-scanning/customizing-your-advanced-setup-for-code-scanning).

  •         [AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/viewing-code-scanning-logs).