Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.
All products
Sécurité du code

Configuration de l’analyse du code pour un référentiel

Exécuter l’analyse du code avec GitHub Actions2 sur 7 dans le parcours d’apprentissage
Suivant:Personnalisation de l’analyse du code

Dans cet article

Vous pouvez configurer l’code scanning pour un référentiel afin de trouver les failles de sécurité présentes dans votre code.

Qui peut utiliser cette fonctionnalité

People with admin permissions to a repository, or the security manager role for the repository, can configure code scanning for that repository. People with write permissions to a repository can also configure code scanning, but only by creating a workflow file or manually uploading a SARIF file.

Code scanning est disponible pour tous les dépôts publics sur GitHub.com. Pour utiliser code scanning dans un dépôt privé appartenant à une organisation, vous devez avoir une licence pour GitHub Advanced Security. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Options pour la configuration de l’code scanning

Vous décidez comment générer les alertes d’code scanning et quels outils utiliser, au niveau d’un dépôt. GitHub Enterprise Cloud fournit une prise en charge entièrement intégrée de l’analyse CodeQL et prend également en charge l’analyse avec des outils tiers. Pour plus d’informations, consultez les puces suivantes et « À propos de l’analyse du code ».

La page d’état de l’outil affiche des informations utiles sur tous vos outils d’analyse du code. Si l’analyse du code ne fonctionne pas comme prévu, la page d’état de l’outil est un bon point de départ pour le débogage des problèmes. Pour plus d’informations, consultez « À propos de la page d’état de l’outil pour l’analyse du code ».

Configuration de l’code scanning automatiquement

La configuration par défaut de l’code scanning configure automatiquement l’code scanning avec les meilleurs paramètres pour votre référentiel. La configuration par défaut utilise GitHub Actions pour exécuter l’analyse CodeQL sans vous obliger à commiter un fichier de workflow dans votre référentiel.

Votre référentiel est éligible pour une configuration par défaut, s’il utilise GitHub Actions et ne contient que les langages pris en charge par CodeQL suivants : Go, JavaScript/TypeScript, Python ou Ruby. Bien que vous puissiez utiliser la configuration par défaut si votre référentiel comprend des langages qui ne sont pas pris en charge par CodeQL, par exemple le langage R, vous devez utiliser la configuration avancée si vous incluez d’autres langages pris en charge par CodeQL que ceux listés ci-dessus. Pour plus d’informations sur les langages pris en charge par CodeQL, consultez « À propos de l’analyse du code avec CodeQL ». Pour plus d’informations sur l’activation en bloc, consultez « Configuration de l’analyse du code à grande échelle avec CodeQL ».

L’activation de la configuration par défaut est le moyen le plus rapide de configurer l’code scanning pour votre référentiel. De plus, la configuration par défaut ne nécessite aucune des opérations de maintenance nécessaires à un fichier de workflow CodeQL. Avant d’activer la configuration par défaut, vous pouvez voir les langages qu’elle analyse, les suites de requêtes qu’elle exécute et les événements qui déclenchent une nouvelle analyse.

Essayez la configuration par défaut si vous n’avez pas besoin d’exécuter de requêtes supplémentaires, de changer la planification de l’analyse ou d’analyser un langage non pris en charge par la configuration par défaut.

  1. Dans GitHub.com, accédez à la page principale du dépôt. 1. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  2. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  3. Dans la section « Code scanning », sélectionnez Configuration , puis cliquez sur Par défaut.

    Capture d’écran de la section « Code scanning » des paramètres « Sécurité et analyse du code ». Le bouton « Configuration par défaut » est mis en évidence à l’aide d’un rectangle orange.

  4. Si vous le souhaitez, dans la section « Suites de requêtes » de la boîte de dialogue modale « Configuration par défaut de CodeQL », sélectionnez le menu déroulant Par défaut , puis cliquez sur la suite de requêtes CodeQL que vous souhaitez utiliser.

    Capture d’écran de la boîte de dialogue modale Configuration par défaut pour l’code scanning. Un bouton, intitulé « Par défaut » avec une flèche indiquant un menu déroulant, est encadré en orange foncé.

    Si vous choisissez la suite de requêtes Étendue, votre configuration de l’code scanning exécute des requêtes de gravité et de précision inférieures en plus des requêtes incluses dans la suite de requêtes Par défaut.

    Remarque : Si vous configurez l’code scanning pour utiliser la suite de requêtes Étendue, vous risquez de rencontrer un taux plus élevé d’alertes de faux positifs.

  5. Passez en revue les paramètres de la configuration par défaut sur votre dépôt, puis cliquez sur Activer CodeQL .

    Remarques :

    • La fenêtre Configuration par défaut de CodeQL affiche les détails de la configuration par défaut, notamment les langages à analyser, les suites de requêtes à exécuter et les événements qui déclenchent une nouvelle analyse. Si vous souhaitez changer les événements qui déclenchent une nouvelle analyse ou personnaliser d’autres fonctionnalités de l’code scanning, vous devez utiliser la configuration avancée. Pour plus d’informations, consultez « Configuration de l’analyse du code pour un référentiel ».
    • Si vous passez de la configuration avancée à la configuration par défaut, un avertissement s’affiche pour vous informer que la configuration par défaut va remplacer les configurations existantes. La configuration par défaut de CodeQL désactive le fichier de workflow existant et bloque les chargements d’API d’analyse CodeQL.
    • Si vous souhaitez voir votre configuration par défaut de CodeQL une fois la configuration effectuée, sélectionnez , puis cliquez sur Voir la configuration de CodeQL .

Création d’une configuration avancée

La configuration avancée de l’code scanning est utile quand vous devez personnaliser votre code scanning. En créant et en modifiant un fichier de workflow, vous pouvez choisir les requêtes à exécuter, changer la planification de l’analyse, analyser les langages pris en charge par CodeQL, utiliser une build matricielle, etc.

Configuration de l’code scanning en utilisant des workflows de démarrage

Remarque : Les workflows de démarrage pour Advanced Security ont été regroupés dans une catégorie « Sécurité » sous l’onglet Actions d’un dépôt. Cette nouvelle configuration est actuellement en version bêta et susceptible d’être modifiée.

GitHub Enterprise Cloud fournit des workflows de démarrage pour les fonctionnalités de sécurité comme l’code scanning. Vous pouvez utiliser ces workflows suggérés pour construire vos workflows d’code scanning au lieu de commencer à partir de zéro. Les workflows de démarrage de l’Code scanning ne sont disponibles pour votre dépôt que si l’code scanning est activée.

L’utilisation d’actions pour exécuter l’code scanning repose sur le comptage des minutes. Pour plus d’informations, consultez « À propos de la facturation de GitHub Actions ».

  1. Dans GitHub.com, accédez à la page principale du dépôt. 1. Sous le nom de votre dépôt, cliquez sur Actions. Onglet Actions dans le volet de navigation du dépôt principal
  2. Si au moins un workflow est déjà configuré et en cours d’exécution pour le dépôt, cliquez sur Nouveau workflow pour afficher les workflows de démarrage. Si aucun workflow n’est configuré pour le dépôt, passez à l’étape suivante. Capture d’écran de l’onglet Actions d’un dépôt. Le bouton « Nouveau workflow » est mis en évidence à l’aide d’un rectangle orange
  3. Dans la vue « Choisir un workflow » ou « Bien démarrer avec GitHub Actions », faites défiler jusqu’à la catégorie « Sécurité » et cliquez sur Configurer sous le workflow que vous souhaitez configurer. Vous devrez peut-être cliquer sur Tout afficher pour rechercher le workflow de sécurité que vous souhaitez configurer. Capture d’écran de la catégorie Sécurité des workflows de démarrage. Le bouton Configurer et le lien « Tout afficher » sont mis en évidence à l’aide d’un rectangle orange.
  4. Suivez les instructions fournies dans le workflow pour le personnaliser selon vos besoins. Pour obtenir une aide plus générale sur les workflows, cliquez sur Documentation dans le volet droit de la page du workflow. Capture d’écran montrant un fichier de workflow de démarrage ouvert pour modification. Le bouton « Documentation » est mis en évidence à l’aide d’un rectangle orange. Pour plus d’informations, consultez « Utilisation de workflows de démarrage » et « Personnalisation de l’analyse du code ».

Configuration de l’code scanning manuellement

Vous pouvez personnaliser l’code scanning en créant et en modifiant un fichier de workflow. La configuration avancée génère un fichier de workflow de base que vous pouvez personnaliser.

L’utilisation d’actions pour exécuter l’code scanning repose sur le comptage des minutes. Pour plus d’informations, consultez « À propos de la facturation de GitHub Actions ».

  1. Dans GitHub.com, accédez à la page principale du dépôt. 1. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  2. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  3. Faites défiler jusqu’à la section « Code scanning », sélectionnez Configuration , puis cliquez sur Avancé.

    Remarque : Si vous passez de la configuration par défaut à la configuration avancée de l’code scanning, dans la section « Code scanning », sélectionnez , puis cliquez sur Passer au mode avancé. Dans la fenêtre indépendante qui s’affiche, cliquez sur Désactiver CodeQL .

    Capture d’écran de la section « Code scanning » des paramètres « Sécurité et analyse du code ». Le bouton « Configuration avancée » est mis en évidence à l’aide d’un rectangle orange.

  4. Pour personnaliser la façon dont l’code scanning analyse votre code, modifiez le workflow.

    En règle générale, vous pouvez commiter le Workflow d’analyse CodeQL sans apporter aucun changement à celui-ci. Toutefois, de nombreux workflows tiers nécessitent une configuration supplémentaire. Lisez donc les commentaires dans le workflow avant de commiter.

    Pour plus d’informations, consultez « Personnalisation de l’analyse du code ».

  5. Cliquez sur Commiter les changements... pour afficher le formulaire de commit des changements.

    Capture d’écran du formulaire pour créer un nouveau fichier. À droite du nom du fichier, un bouton vert intitulé « Commiter les changements... » est encadré en orange foncé.

  6. Dans le champ de message de commit, tapez un message de commit.

  7. Indiquez si vous voulez commiter directement dans la branche par défaut ou créer une branche et démarrer une demande de tirage (pull request).

  8. Cliquez sur Commiter le nouveau fichier pour commiter le fichier de workflow dans la branche par défaut ou sur Proposer un nouveau fichier pour commiter le fichier dans une nouvelle branche.

  9. Si vous avez créé une branche, cliquez sur Créer une demande de tirage et ouvrez une demande de tirage pour fusionner votre changement dans la branche par défaut.

Dans le Workflow d’analyse CodeQL suggéré, l’code scanning est configurée pour analyser votre code chaque fois que vous poussez un changement vers la branche par défaut ou des branches protégées, ou que vous déclenchez une demande de tirage (pull request) sur la branche par défaut. En conséquence, l’code scanning commence.

Les déclencheurs on:pull_request et on:push pour l’analyse du code sont chacun utiles à des fins différentes. Pour plus d’informations, consultez « Personnalisation de l’analyse du code ».

Pour plus d’informations sur l’activation en bloc, consultez « Configuration de l’analyse du code à grande échelle avec CodeQL ».

Affichage de la sortie de journalisation de l’code scanning

Après avoir configuré l’code scanning pour votre référentiel, vous pouvez regarder la sortie des actions à mesure qu’elles s’exécutent.

  1. Sous le nom de votre dépôt, cliquez sur Actions. Onglet Actions dans le volet de navigation du dépôt principal

    La liste qui apparaît inclut une entrée pour l’exécution du workflow d’code scanning. Le texte de l’entrée est le titre que vous avez donné à votre message de commit.

    Liste d’actions montrant le workflow d’code scanning

  2. Cliquez sur l’entrée de l’exécution du workflow d’code scanning.

  3. Cliquez sur le nom du travail sur la gauche. Par exemple, Analyser (LANGAGE) .

    Sortie du journal du workflow d’code scanning

  4. Passez en revue la sortie de la journalisation des actions de ce workflow à mesure qu’elles s’exécutent.

  5. Une fois tous les travaux terminés, vous pouvez afficher les détails de toutes les alertes de l’code scanning qui ont été identifiées. Pour plus d’informations, consultez « Gestion des alertes d’analyse du code pour votre référentiel ».

Présentation des vérifications des demandes de tirage

Pour chaque workflow d’code scanning configuré pour s’exécuter sur les demandes de tirage, il existe toujours au moins deux entrées dans la section des vérifications d’une demande de tirage. Il existe une entrée pour chacun des travaux d’analyse dans le workflow et une entrée finale pour les résultats de l’analyse.

Les noms des vérifications d’code scanning ont la forme suivante : « NOM DE L’OUTIL / NOM DU TRAVAIL (DÉCLENCHEUR) ». Par exemple, pour CodeQL, l’analyse du code C++ contient l’entrée « CodeQL / Analyser (cpp) (pull_request) ». Vous pouvez cliquer sur Détails sur une entrée d’code scanning pour afficher les données de journalisation. Ainsi, vous pouvez déboguer un problème si le travail d’analyse a échoué. Par exemple, pour l’code scanning des langages compilés, cela peut se produire si l’action ne peut pas générer le code.

Capture d’écran montrant un exemple de vérifications de demande de tirage d’code scanning. L’échec de l’analyse CodeQL pour C++ s’affiche avec une croix rouge.

Pendant l’exécution des travaux d’code scanning, GitHub détermine si des alertes ont été ajoutées par la demande de tirage et ajoute l’entrée « Résultats de l’Code scanning / NOM DE L’OUTIL » à la liste des vérifications. Après que l’code scanning a été effectuée au moins une fois, vous pouvez cliquer sur Détails pour afficher les résultats de l’analyse.

Étapes suivantes

Après avoir configuré l’code scanning et autorisé ses actions, vous pouvez :

PrécédentÀ propos de l’analyse du codeSuivantPersonnalisation de l’analyse du code