Affichage des journaux d’analyse du code

Vous pouvez voir la sortie générée durant l’code scanning dans GitHub.

Qui peut utiliser cette fonctionnalité ?

Utilisateurs disposant d’un accès en lecture

Dans cet article

Remarque

Votre administrateur de site doit activer l’code scanning avant de pouvoir utiliser cette fonctionnalité. Si vous souhaitez utiliser GitHub Actions pour analyser votre code, l’administrateur de site doit également activer GitHub Actions et configurer l’infrastructure nécessaire. Pour plus d’informations, consultez « Configuration de l’analyse de code pour votre appliance ».

À propos de votre configuration de l’code scanning

Vous pouvez utiliser divers outils pour configurer l’code scanning dans votre dépôt. Pour plus d’informations, consultez « Définition de la configuration par défaut pour l’analyse du code » et « Configuration avancée de l’analyse du code ».

Les informations de journal et de diagnostic disponibles dépendent de la méthode que vous utilisez pour code scanning dans votre référentiel. Vous pouvez vérifier le type d’code scanning que vous utilisez sous l’onglet Sécurité de votre dépôt, en utilisant le menu déroulant Outil dans la liste des alertes. Pour plus d’informations, consultez « Évaluation des alertes d’analyse du code pour votre référentiel ».

À propos des informations d’analyse et de diagnostic

Vous pouvez voir les informations d’analyse et de diagnostic pour l’code scanning exécutée avec l’analyse CodeQL sur GitHub.

Les informations d’analyse sont affichées pour l’analyse la plus récente dans un en-tête en haut de la liste des alertes. Pour plus d’informations, consultez « Évaluation des alertes d’analyse du code pour votre référentiel ».

Les informations de diagnostic sont affichées dans les journaux de workflow Action et se composent de métriques récapitulatives et de diagnostics d’extraction. Pour plus d’informations sur l’accès aux journaux d’code scanning sur GitHub, consultez Affichage de la sortie de journalisation de l’code scanning ci-dessous.

Si vous utilisez l’CodeQL CLI en dehors de GitHub, les informations de diagnostic s’affichent dans la sortie générée lors de l’analyse de la base de données. Ces informations sont également incluses dans le fichier de résultats SARIF que vous chargez sur GitHub avec les résultats de l’code scanning.

Pour plus d’informations sur l’CodeQL CLI, consultez Analyse de votre code avec des requêtes CodeQL.

À propos des métriques récapitulatives

Les métriques récapitulatives sont les suivantes :

  • Lignes de code dans le codebase (utilisée comme base de référence), avant la création et l’extraction de la base de données CodeQL
  • Lignes de code dans la base de données CodeQL extraite du code, bibliothèques externes et fichiers générés automatiquement compris
  • Lignes de code dans la base de données CodeQL, fichiers générés automatiquement et bibliothèques externes non compris

À propos des diagnostics d’extraction de code source CodeQL

Les diagnostics de l’extracteur couvrent uniquement les fichiers vus durant l’analyse. Les métriques incluent notamment les éléments suivants :

  • Nombre de fichiers analysés correctement
  • Nombre de fichiers ayant généré des erreurs d’extraction durant la création de la base de données
  • Nombre de fichiers ayant généré des avertissements d’extraction durant la création de la base de données

Vous pouvez voir des informations plus détaillées sur les erreurs et avertissements de l’extracteur CodeQL qui apparaissent lors de la création de la base de données en activant la journalisation du débogage. Pour plus d’informations, consultez « Journaux insuffisamment détaillés ».

Affichage de la sortie de journalisation de l’code scanning

Cette section s’applique l’code scanning exécutée avec GitHub Actions (CodeQL ou tiers).

Après avoir configuré l’code scanning pour votre référentiel, vous pouvez regarder la sortie des actions à mesure qu’elles s’exécutent.

  1. Sous le nom de votre référentiel, cliquez sur Actions.

    Capture d’écran des onglets du référentiel « github/docs ». L’onglet « Actions » est mis en surbrillance avec un encadré orange.

    La liste qui apparaît inclut une entrée pour l’exécution du workflow d’code scanning. Le texte de l’entrée est le titre que vous avez donné à votre message de commit.

    Capture d’écran de la page « Tous les workflows ». Dans la liste des exécutions de workflow se trouve une exécution intitulée « Créer .github/workflows/codeql.yml ».

  2. Cliquez sur l’entrée du workflow d’code scanning.

    Remarque

    Si vous recherchez l’exécution de workflow CodeQL déclenchée par l’activation de la configuration par défaut, le texte de l’entrée est « CodeQL ».

  3. Cliquez sur le nom du travail sur la gauche. Par exemple, Analyser (LANGAGE) .

    Capture d’écran de la sortie du journal pour le travail « Analyser (go) ». Dans la barre latérale gauche, sous l’en-tête « Travaux », « Analyser (go) » est listé.

  4. Passez en revue la sortie de la journalisation des actions de ce workflow à mesure qu’elles s’exécutent.

  5. Le cas échéant, pour plus d’informations sur le commit qui a déclenché l’exécution du workflow, cliquez sur le code de hachage de commit court. Le code de hachage de commit court comporte sept caractères minuscules placés immédiatement après le nom d’utilisateur de l’auteur du commit.

  6. Une fois tous les travaux terminés, vous pouvez afficher les détails de toutes les alertes de l’code scanning qui ont été identifiées. Pour plus d’informations, consultez « Évaluation des alertes d’analyse du code pour votre référentiel ».

Déterminer si la configuration par défaut de l’code scanning a utilisé des dépôts privés

Les flux de travail de configuration par défaut Code scanning incluent une étape Setup proxy for registries. Lorsque vous examinez une exécution de flux de travail pour la configuration par défaut, vous pouvez développer cette étape pour afficher le journal correspondant et rechercher les messages suivants :

  •         `Using registries_credentials input.` Au moins un dépôt privé est configuré pour l’organisation. Cela inclut les configurations pour les types de registre privé qui ne sont pas pris en charge par la configuration par défaut code scanning. Pour plus d’informations sur les types de Registre pris en charge, consultez [AUTOTITLE](/code-security/securing-your-organization/enabling-security-features-in-your-organization/giving-org-access-private-registries#code-scanning-default-setup-access-to-private-registries).

  • Credentials loaded for the following registries:

    • Si aucune liste de configurations ne suit, alors aucune configuration de registre privé prise en charge par la configuration par défaut de code scanning n'a été trouvée.
    • Sinon, une ligne pour chaque configuration prise en charge qui a été correctement chargée s’affiche. Par exemple, une ligne contenant Type: nuget_feed; Host: undefined; Url: https://nuget.pkg.github.com/; Username: undefined; Password: true; Token: false indique qu’une configuration de flux NuGet privée a été chargée.
    • Les informations sur la configuration dans le journal peuvent ne pas correspondre exactement à ce qui est configuré pour l’organisation dans l’interface utilisateur. Par exemple, le journal peut indiquer qu’un Password est défini, même si un Token est configuré dans l’interface utilisateur.

Si la sortie de l’étape Setup proxy for registries est comme prévu, mais que la configuration par défaut de code scanning ne parvient pas à accéder aux dépendances des registres privés, vous pouvez obtenir des informations de dépannage supplémentaires. Consultez Journaux insuffisamment détaillés.

Pour plus d’informations sur la façon de donner à code scanning un accès par défaut aux registres privés, consultez Accès des fonctionnalités de sécurité aux registres privés.