Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.
All products
Sécurité du code

Configuration de l’analyse du code à grande échelle avec CodeQL

Dans cet article

Vous pouvez configurer l’code scanning pour les dépôts éligibles de votre organisation avec la configuration par défaut de CodeQL ou utiliser un script servant à définir une configuration avancée pour un groupe spécifique de dépôts.

Code scanning est disponible pour tous les dépôts publics sur GitHub.com. Pour utiliser code scanning dans un dépôt privé appartenant à une organisation, vous devez avoir une licence pour GitHub Advanced Security. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

À propos de la configuration de l’code scanning dans plusieurs dépôts

Il existe deux façons de configurer l’code scanning dans plusieurs dépôts en même temps. La meilleure méthode à utiliser dépend des besoins d’analyse des dépôts.

  1. Les dépôts sont éligibles à la configuration par défaut de CodeQL et appartiennent à une organisation.
  2. Le groupe de dépôts a des besoins de configuration similaires pour la configuration avancée de CodeQL.

De plus, GitHub Actions doit être activé pour l’organisation ou l’entreprise.

Dépôts éligibles pour la configuration par défaut de CodeQL

Note: The ability to enable and disable default set up for code scanning for eligible repositories in an organization is currently in beta and subject to change. During the beta release, if you disable CodeQL code scanning for all repositories this change will not be reflected in the coverage information shown in security overview for the organization. The repositories will still appear to have code scanning enabled in this view.

Vous pouvez utiliser la page des paramètres de l’organisation pour « Sécurité et analyse du code » afin d’activer l’code scanning pour tous les dépôts de l’organisation qui sont éligibles à la configuration par défaut de CodeQL.

Critères d’éligibilité pour l’activation au niveau de l’organisation

Un dépôt doit répondre à tous les critères suivants pour être éligible à la configuration par défaut, sinon vous devrez utiliser la configuration avancée.

  • L’Code scanning n’est pas déjà activée.
  • GitHub Actions est activé.
  • Utilise Go, JavaScript/TypeScript, Python ou Ruby.
  • N’utilise aucun autre langage pris en charge par CodeQL, mais peut inclure d’autres langages, comme R. Pour plus d’informations sur les langages pris en charge par CodeQL, consultez « À propos de l’analyse du code avec CodeQL ».
  • Visible publiquement, ou GitHub Advanced Security est activé.

Pour plus d’informations sur la configuration par défaut, consultez « Configuration de l’analyse du code pour un référentiel ». Pour plus d’informations sur la modification des paramètres de sécurité et d’analyse d’une organisation, consultez « Gestion des paramètres de sécurité et d’analyse pour votre organisation ».

Recherche des dépôts éligibles à la configuration par défaut

La page Couverture de la sécurité, qui fait partie de la vue d’ensemble de la sécurité, permet de filtrer facilement les dépôts de votre organisation pour afficher les dépôts éligibles à la configuration par défaut.

  • code-scanning-default-setup:eligible is:public montre les dépôts qui ont des langages adaptés à la configuration par défaut et qui sont éligibles parce qu’ils sont visibles par tous.
  • code-scanning-default-setup:eligible advanced-security:enabled affiche les dépôts privés ou internes qui ont des langages adaptés à la configuration par défaut et qui sont éligibles parce qu’ils ont GitHub Advanced Security qui est activé.
  • code-scanning-default-setup:eligible is:private,internal advanced-security:not-enabled affiche les dépôts privés ou internes qui ont des langages adaptés à la configuration par défaut, mais qui n’ont pas GitHub Advanced Security activé. Une fois que vous avez activé GitHub Advanced Security pour ces dépôts, ces derniers peuvent également être ajoutés à la configuration par défaut.
  • code-scanning-default-setup:not-eligible montre les dépôts qui ont une configuration avancée déjà définie ou qui ont des langages qui ne conviennent pas à la configuration par défaut.

Pour plus d’informations sur la page de couverture de la sécurité, consultez « Évaluation de l'adoption des fonctionnalités de sécurité du code ».

Utilisation d’un script pour définir la configuration avancée

Pour les dépôts qui ne sont pas éligibles à la configuration par défaut, vous pouvez utiliser un script de configuration en bloc pour définir une configuration avancée sur plusieurs dépôts.

  1. Identifiez un groupe de dépôts qui peuvent être analysés à l’aide de la même configuration d’code scanning. Par exemple, tous les dépôts qui génèrent des artefacts Java à l’aide de l’environnement de production.
  2. Créez et testez un workflow GitHub Actions pour appeler l’action CodeQL avec la configuration appropriée. Pour plus d’informations, consultez « Configuration de l’analyse du code pour un référentiel ».
  3. Utilisez l’un des exemples de scripts pour créer un script personnalisé visant à ajouter le workflow à chaque dépôt du groupe.