À propos de l’analyse du code CodeQL dans votre système d’intégration continue

Dans cet article

Vous pouvez analyser votre code avec CodeQL dans un système d’intégration continue tiers et charger les résultats dans GitHub.com. Les alertes d’code scanning obtenues s’affichent en même temps que toutes les alertes générées dans GitHub.

Code scanning est disponible pour tous les dépôts publics sur GitHub.com. Code scanning est également disponible pour des dépôts privés appartenant à des organisations qui utilisent GitHub Enterprise Cloud et ont une licence pour GitHub Advanced Security. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

À propos de l’code scanning CodeQL dans votre système CI

Code scanning es une fonctionnalité que vous utilisez pour analyser le code dans un dépôt GitHub afin de détecter d’éventuelles vulnérabilités de sécurité et erreurs de codage. Tous les problèmes identifiés par l’analyse sont affichés dans GitHub. Pour plus d’informations, consultez « À propos de l’analyse du code avec CodeQL ».

Vous pouvez exécuter l’code scanning CodeQL dans GitHub en utilisant GitHub Actions. Si vous utilisez un système tiers d’intégration continue ou de livraison continue/déploiement continu (CI/CD), vous pouvez également exécuter l’analyse CodeQL sur votre système existant et charger les résultats vers GitHub.com.

Vous ajoutez l’CodeQL CLI à votre système tiers, puis appelez l’outil pour analyser le code et charger les résultats SARIF sur GitHub. Les alertes d’code scanning obtenues s’affichent en même temps que toutes les alertes générées dans GitHub.

Si vous exécutez l’analyse du code à l’aide de plusieurs configurations, la même alerte est parfois générée par plusieurs configurations. Si une alerte provient de plusieurs configurations, vous pouvez afficher l’état de l’alerte pour chaque configuration sur la page des alertes. Pour plus d’informations, consultez « À propos des alertes d’analyse du code ».

Remarque : le chargement de données SARIF à afficher comme résultats code scanning dans GitHub est pris en charge pour des dépôts appartenant à l’organisation avec GitHub Advanced Security activé, ainsi que des dépôts publics sur GitHub.com. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ».

À propos de l’CodeQL CLI

L’CodeQL CLI est un outil en ligne de commande autonome que vous pouvez utiliser pour analyser le code. Son objectif principal est de générer une représentation de base de données d’un codebase, une base de données CodeQL. Une fois que la base de données est prête, vous pouvez l’interroger de manière interactive, ou exécuter une suite de requêtes pour générer un ensemble de résultats au format SARIF et charger les résultats dans GitHub.com.

Utilisez l’CodeQL CLI pour analyser :

  • Les langages dynamiques, par exemple, JavaScript et Python.
  • Langages compilés, par exemple, C/C++, C#, Go, et Java.
  • Les codebases écrits dans un mélange de langages.

Pour plus d’informations, consultez « Installation de l’interface CLI de CodeQL dans votre système CI ».

Remarques :

  • L’utilisation de CodeQL CLI est gratuite sur les dépôts publics. CodeQL CLI est également disponible dans des dépôts privés appartenant à des organisations qui utilisent GitHub Enterprise Cloud et ont une licence pour GitHub Advanced Security. Pour plus d’informations, consultez « Conditions générales de GitHub CodeQL » et « Interface CLI de CodeQL ».
  • CodeQL CLI n’est actuellement pas compatible avec les distributions Linux non-glibc comme Alpine Linux (basée sur musl).