Définition de la configuration par défaut pour l’analyse du code

Dans cet article

Vous pouvez rapidement sécuriser le code dans votre dépôt avec la configuration par défaut de l’code scanning.

Qui peut utiliser cette fonctionnalité

People with admin permissions to a repository, or the security manager role for the repository, can configure code scanning for that repository.

Code scanning est disponible pour tous les dépôts publics sur GitHub.com. Code scanning est également disponible pour des dépôts privés appartenant à des organisations qui utilisent GitHub Enterprise Cloud et ont une licence pour GitHub Advanced Security. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

À propos de la configuration par défaut

La configuration par défaut de l’code scanning est la méthode la plus rapide, la plus simple et la moins exigeante en termes de maintenance pour activer l’code scanning sur votre dépôt. En fonction du code contenu dans votre dépôt, la configuration par défaut crée automatiquement une configuration d’code scanning personnalisée. Après avoir activé l’installation par défaut, le code de votre référentiel sera analysé :

  • à chaque envoi (push) vers la branche par défaut du référentiel, ou toute branche protégée. Pour plus d’informations sur les branches protégées, consultez « À propos des branches protégées ».
  • lors de la création ou de la validation d’une demande de tirage (pull request) basée sur la branche par défaut du référentiel, ou toute branche protégée.
  • selon une planification hebdomadaire.

Remarque : si aucune demande d’envoi (push) ou de tirage (pull request) n’a été effectuée dans un référentiel dont la configuration par défaut a été activée pendant 6 mois, la planification hebdomadaire sera désactivée pour économiser vos GitHub Actions minutes.

Vous pouvez activer la configuration automatiquement sélectionnée de l’installation par défaut pour commencer à analyser votre code dès que possible, ou vous pouvez personnaliser certains aspects de la configuration pour mieux répondre à vos code scanning besoins. Si vous choisissez de personnaliser vous-même la configuration, vous pouvez sélectionner :

  • Les langages qui seront analysés par la configuration par défaut.
  • La suite de requêtes qui sera exécutée par la configuration par défaut. Pour plus d’informations, consultez « Suites de requêtes CodeQL intégrées ».

Vous pouvez également activer la configuration par défaut sur plusieurs dépôts ou tous les dépôts d’une organisation en même temps. Pour plus d’informations sur l’activation en bloc, consultez « Définition de la configuration par défaut pour l’analyse du code à grande échelle ».

Si vous avez besoin d’exercer un contrôle plus précis sur la configuration de l’code scanning, définissez plutôt une configuration avancée. Pour plus d’informations, consultez « Définition de la configuration avancée pour l’analyse du code ».

Exigences relatives à l’utilisation de la configuration par défaut

Votre dépôt a droit à la configuration par défaut de l’code scanning si :

  • Elle inclut au moins un langage pris en charge par CodeQL-supported language.
  • GitHub Actions est activé.
  • Il est visible publiquement.

Vous pouvez utiliser la configuration par défaut si votre dépôt comprend des langages qui ne sont pas pris en charge par CodeQL, notamment R. Pour plus d’informations sur les langages pris en charge par CodeQL, consultez « À propos de l’analyse du code avec CodeQL ».

Définition de la configuration par défaut pour un dépôt

Lorsque vous configurez initialement la configuration par défaut pour code scanning pour un référentiel, toutes les CodeQL-les langages pris en charge dans le référentiel seront analysées automatiquement. Les langages analysés avec succès seront conservés dans la nouvelle configuration par défaut. Les langages qui ne sont pas analysés avec succès seront automatiquement désélectionnés de la configuration par défaut.

Remarque : Au moins une analyse de CodeQL language pris en charge dans un référentiel doit réussir, sinon la configuration par défaut ne sera pas activée avec succès dans ce référentiel.

  1. Dans GitHub.com, accédez à la page principale du dépôt.

    Remarque : Si vous configurez l’installation par défaut sur un fork, vous devez d’abord activer GitHub Actions. Pour activer GitHub Actions, sous le nom de votre référentiel, cliquez sur Actions, puis cliquez sur Je comprends mes flux de travail, allez de avant et activez-les. N’oubliez pas que cette action active tous les flux de travail existants sur votre fork.

  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  4. Dans la section « Code scanning », sélectionnez Configuration , puis cliquez sur Par défaut.

    Capture d’écran de la section « Code scanning » des paramètres « Sécurité et analyse du code ». Le bouton « Configuration par défaut » est mis en évidence à l’aide d’un rectangle orange.

    Vous voyez alors une boîte de dialogue « Configuration par défaut de CodeQL » qui résume la définition de l’code scanning créée automatiquement par la configuration par défaut.

    1. Si vous le souhaitez, dans la section « Suites de requêtes » de la boîte de dialogue modale « Configuration par défaut de CodeQL », sélectionnez le menu déroulant Par défaut , puis cliquez sur la suite de requêtes CodeQL que vous souhaitez utiliser.

    Capture d’écran de la boîte de dialogue modale pour la configuration par défaut. Un bouton, intitulé « Par défaut » avec une flèche indiquant un menu déroulant, est encadré en orange foncé.

    Si vous choisissez la suite de requêtes Étendue, votre configuration de l’code scanning exécute des requêtes de gravité et de précision inférieures en plus des requêtes incluses dans la suite de requêtes Par défaut. Pour plus d’informations sur les suites de requêtes disponibles, consultez « Suites de requêtes CodeQL intégrées ».

    Remarque : Si vous configurez l’code scanning pour utiliser la suite de requêtes Étendue, vous risquez de rencontrer un taux plus élevé d’alertes de faux positifs.

  5. Passez en revue les paramètres de la configuration par défaut sur votre dépôt, puis cliquez sur Activer CodeQL . Cela va déclencher un flux de travail permettant de tester la nouvelle configuration générée automatiquement.

    Remarque : Si vous passez de la configuration avancée à la configuration par défaut, un avertissement s’affiche pour vous informer que la configuration par défaut va remplacer les configurations d’code scanning existantes. Cet avertissement signifie que la configuration par défaut va désactiver le fichier de workflow existant et bloquer les chargements d’API d’analyse CodeQL.

  6. Si vous souhaitez voir votre configuration par défaut une fois celle-ci activée, sélectionnez , puis cliquez sur Voir la configuration de CodeQL .

Étapes suivantes

Après avoir défini la configuration d’code scanning par défaut et correctement exécuté votre configuration au moins une fois, vous pouvez commencer à examiner et à résoudre les alertes générées par l’code scanning. Pour plus d’informations sur les alertes générées par l’code scanning, consultez « À propos des alertes d’analyse du code » et « Gestion des alertes d’analyse du code pour votre référentiel ».

Vous trouverez des informations détaillées sur votre configuration d’code scanning, notamment des horodatages pour chaque analyse et le pourcentage de fichiers analysés, dans la page d’état de l’outil. Pour plus d’informations, consultez « À propos de la page d’état de l’outil pour l’analyse du code ».

Quand vous définissez la configuration par défaut, vous pouvez rencontrer une erreur. Pour plus d’informations sur la résolution d’erreurs spécifiques, consultez « Résolution des problèmes d’analyse du code ».