Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus récentes, veuillez consulter la Documentation en anglais.
 

 

Configuration de l’analyse du code pour un dépôt

Contenu de cet article

Vous pouvez configurer code scanning en ajoutant un workflow à votre référentiel.

Who can use this feature

If you have write permissions to a repository, you can set up or configure code scanning for that repository.

Code scanning est disponible pour tous les dépôts publics sur GitHub.com. Code scanning est également disponible pour des dépôts privés appartenant à des organisations qui utilisent GitHub Enterprise Cloud et ont une licence pour GitHub Advanced Security. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Options de configuration de l’code scanning

Vous décidez comment générer les alertes d’code scanning et quels outils utiliser, au niveau d’un dépôt. GitHub fournit une prise en charge entièrement intégrée de l’analyse CodeQL et prend également en charge l’analyse avec des outils tiers. Pour plus d’informations, consultez « À propos de l’code scanning ».

Type d’analyseOptions de génération d’alertes
CodeQLUtilisation de GitHub Actions (voir « Configuration de code scanning à l’aide d’actions ») ou exécution d’une analyse CodeQL dans un système d’intégration continue (CI) tiers (voir « About CodeQL code scanning dans votre système CI »).
TiersUtilisation de GitHub Actions (voir « Configuration de code scanning à l’aide d’actions ») ou générées en externe et chargées sur GitHub (voir « Chargement d’un fichier SARIF sur GitHub »).

Si vous exécutez l’analyse du code en utilisant plusieurs configurations, il arrive qu’une alerte ait plusieurs origines d’analyse. Si une alerte a plusieurs origines d’analyse, vous pouvez afficher l’état de l’alerte pour chaque origine d’analyse sur la page de l’alerte. Pour plus d’informations, consultez « À propos des origines d’analyse ».

Configuration de l’code scanning en utilisant des workflows de démarrage

Remarque : Les workflows de démarrage pour Advanced Security ont été regroupés dans une catégorie « Sécurité » sous l’onglet Actions d’un dépôt. Cette nouvelle configuration est actuellement en version bêta et susceptible d’être modifiée.

GitHub fournit des workflows de démarrage pour les fonctionnalités de sécurité comme l’code scanning. Vous pouvez utiliser ces workflows suggérés pour construire vos workflows d’code scanning au lieu de commencer à partir de zéro. Les workflows de démarrage de l’Code scanning ne sont disponibles pour votre dépôt que si l’code scanning est activée.

L’utilisation d’actions pour exécuter l’code scanning repose sur le comptage des minutes. Pour plus d’informations, consultez « À propos de la facturation pour GitHub Actions ».

  1. Dans , accédez à la page principale du dépôt. 1. Sous le nom de votre référentiel, cliquez sur Actions. Onglet Actions dans le volet de navigation du dépôt principal
  2. Si au moins un workflow est déjà configuré pour le dépôt et qu’il est en cours d’exécution, cliquez sur Nouveau workflow et passez à l’étape 5. Si aucun workflow n’est configuré pour le dépôt, passez à l’étape suivante. Capture d’écran du bouton Nouveau workflow
  3. Faites défiler jusqu’à la catégorie « Sécurité », puis cliquez sur Configurer sous le workflow que vous souhaitez configurer, ou cliquez sur Afficher tout pour afficher tous les workflows de sécurité disponibles. Capture d’écran de la section Sécurité (Actions > Workflows)
  4. Dans le volet droit de la page du workflow, cliquez sur Documentation et suivez les instructions à l’écran pour adapter le workflow à vos besoins. Capture d’écran de l’onglet Documentation pour les workflows de démarrage Pour plus d’informations, consultez « Utilisation des workflows de démarrage » et « Configuration de l’code scanning ».

Configuration manuelle de l’code scanning

Vous pouvez configurer code scanning dans n’importe quel dépôt public où vous disposez d’un accès en écriture.

L’utilisation d’actions pour exécuter l’code scanning repose sur le comptage des minutes. Pour plus d’informations, consultez « À propos de la facturation pour GitHub Actions ». 1. Dans , accédez à la page principale du dépôt. 1. Sous le nom du dépôt, cliquez sur Sécurité. Onglet Sécurité

  1. À droite de « Alertes d’Code scanning », cliquez sur Configurer l’code scanning . Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre organisation » ou « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ». Bouton « Configurer l’code scanning » à droite «d’Code scanning » dans la vue d’ensemble de la sécurité

  2. Sous « Bien démarrer avec l’code scanning », cliquez sur Configurer ce workflow sur le ou sur un workflow tiers. Bouton « Configurer ce workflow » sous le titre « Bien démarrer avec l’code scanning »Les workflows s’affichent uniquement s’ils sont pertinents pour les langages de programmation détectés dans le dépôt. Le est toujours affiché, mais le bouton « Configurer ce workflow » n’est activé que si l’analyse CodeQL prend en charge les langages présents dans le dépôt.

  3. Pour personnaliser la façon dont l’code scanning analyse votre code, modifiez le workflow.

    En règle générale, vous pouvez commiter le sans y apporter de modifications. Toutefois, de nombreux workflows tiers nécessitent une configuration supplémentaire. Lisez donc les commentaires dans le workflow avant de commiter.

    Pour plus d’informations, consultez « Configuration de l’code scanning ».

  4. Sélectionnez la liste déroulante Commencer le commit, puis tapez un message de commit. Commencer le commit

  5. Indiquez si vous souhaitez valider directement la branche par défaut ou créer une nouvelle branche et démarrer une requête de tirage (pull request). Choisir où effectuer le commit

  6. Cliquez sur Valider le nouveau fichier ou Proposer un nouveau fichier.

Dans le par défaut, l’code scanning est configurée pour analyser votre code chaque fois que vous poussez (push) une modification vers la branche par défaut ou à des branches protégées, ou que vous déclenchez une demande de tirage sur la branche par défaut. En conséquence, l’code scanning commence.

Les déclencheurs on:pull_request et on:push pour l’analyse du code sont chacun utiles à des fins différentes. Pour plus d’informations, consultez « Analyse des demandes de tirage » et « Analyse lors d’une poussée ».

Configuration en bloc de l’code scanning

Vous pouvez configurer l’code scanning dans de nombreux dépôts à la fois avec un script. Si vous souhaitez utiliser un script pour déclencher des demandes de tirage qui ajoutent un workflow GitHub Actions à plusieurs dépôts, consultez le dépôt jhutchings1/Create-ActionsPRs, pour obtenir un exemple utilisant PowerShell, ou nickliffen/ghas-enablement, pour les équipes qui n’ont pas PowerShell et qui souhaitent utiliser NodeJS.

Affichage de la sortie de journalisation de l’code scanning

Après avoir configuré l’code scanning pour votre dépôt, vous pouvez regarder la sortie des actions à mesure qu’elles s’exécutent.

  1. Sous le nom de votre référentiel, cliquez sur Actions. Onglet Actions dans le volet de navigation du dépôt principal

    La liste qui apparaît inclut une entrée pour l’exécution du workflow d’code scanning. Le texte de l’entrée est le titre que vous avez donné à votre message de commit.

    Liste d’actions montrant le workflow d’code scanning

  2. Cliquez sur l’entrée du workflow d’code scanning.

  3. Cliquez sur le nom du travail sur la gauche. Par exemple, Analyser (LANGAGE) .

    Sortie du journal du workflow d’code scanning

  4. Passez en revue la sortie de la journalisation des actions de ce workflow à mesure qu’elles s’exécutent.

  5. Une fois tous les travaux terminés, vous pouvez afficher les détails de toutes les alertes de l’code scanning qui ont été identifiées. Pour plus d’informations, consultez « Gestion des alertes d’code scanning pour votre dépôt ».

Remarque : Si vous avez déclenché une demande de tirage (pull request) pour ajouter le workflow d’code scanning au dépôt, les alertes de cette demande de tirage ne s’affichent directement dans la page Code scanning qu’une fois la demande de tirage fusionnée. Si des alertes ont été trouvées, vous pouvez les afficher, avant que la demande de tirage ne soit fusionnée, en cliquant sur le lien n alertes trouvées dans la bannière de la page Code scanning.

Cliquez sur le lien « n alertes trouvées »

Présentation des vérifications des demandes de tirage

Pour chaque workflow d’code scanning configuré pour s’exécuter sur les demandes de tirage, il existe toujours au moins deux entrées dans la section des vérifications d’une demande de tirage. Il existe une entrée pour chacun des travaux d’analyse dans le workflow et une entrée finale pour les résultats de l’analyse.

Les noms des vérifications d’code scanning ont la forme suivante : « NOM DE L’OUTIL / NOM DU TRAVAIL (DÉCLENCHEUR) ». Par exemple, pour CodeQL, l’analyse du code C++ contient l’entrée « CodeQL / Analyser (cpp) (pull_request) ». Vous pouvez cliquer sur Détails sur une entrée d’code scanning pour afficher les données de journalisation. Ainsi, vous pouvez déboguer un problème si le travail d’analyse a échoué. Par exemple, pour l’code scanning des langages compilés, cela peut se produire si l’action ne peut pas générer le code.

Vérifications des demandes de tirage pour l’code scanning

Pendant l’exécution des travaux d’code scanning, GitHub détermine si des alertes ont été ajoutées par la demande de tirage et ajoute l’entrée « Résultats de l’Code scanning / NOM DE L’OUTIL » à la liste des vérifications. Après que l’code scanning a été effectuée au moins une fois, vous pouvez cliquer sur Détails pour afficher les résultats de l’analyse.

Étapes suivantes

Après avoir configuré l’code scanning et autorisé ses actions, vous pouvez :