Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.

Triage des alertes d’analyse du code dans les demandes de tirage (pull request)

Quand l’code scanning identifie un problème dans une demande de tirage, vous pouvez passer en revue le code mis en surbrillance et résoudre l’alerte.

Qui peut utiliser cette fonctionnalité

If you have read permission for a repository, you can see annotations on pull requests. With write permission, you can see detailed information and resolve code scanning alerts for that repository.

Code scanning est disponible pour tous les dépôts publics sur GitHub.com. Pour utiliser code scanning dans un dépôt privé appartenant à une organisation, vous devez avoir une licence pour GitHub Advanced Security. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

À propos des résultats d’code scanning sur les demandes de tirage

Dans les dépôts où l’code scanning est configurée en tant que vérification de demande de tirage, l’code scanning vérifie le code dans la demande de tirage. Par défaut, cela est limité aux demandes de tirage qui ciblent la branche par défaut, mais vous pouvez changer cette configuration dans GitHub Actions ou dans un système CI/CD tiers. Si la fusion des modifications introduit de nouvelles alertes d’code scanning dans la branche cible, celles-ci sont signalées à plusieurs endroits.

  • Vérifier les résultats dans l’ de la demande de tirage
  • L’onglet Conversation de la demande de tirage, dans le cadre d’une révision de demande de tirage
  • L’onglet Fichiers modifiés de la demande de tirage

Si vous disposez d’une autorisation d’écriture pour le dépôt, vous pouvez voir les alertes d’code scanning existantes sous l’onglet Sécurité. Pour plus d’informations sur les alertes de dépôt, consultez « Gestion des alertes d’code scanning pour votre dépôt ».

Dans les dépôts où l’code scanning est configurée pour effectuer une analyse chaque fois que du code est poussé, l’code scanning mappe également les résultats aux demandes de tirage ouvertes et ajoute les alertes sous forme d’annotations dans les mêmes emplacements que les autres vérifications de demande de tirage. Pour plus d’informations, consultez « Personnalisation de l’code scanning ».

Si votre demande de tirage cible une branche protégée qui utilise l’code scanning et que le propriétaire du dépôt a configuré les vérifications d’état requises, la vérification « Résultats de l’Code scanning » doit réussir pour que vous puissiez fusionner la demande de tirage. Pour plus d’informations, consultez « À propos des branches protégées ».

À propos de l’code scanning en tant que vérification de demande de tirage

Comme il existe de nombreuses options pour configurer l’code scanning en tant que vérification de demande de tirage, la nature des vérifications et leur nombre peuvent varier d’un référentiel à l’autre.

Vérification des résultats d’Code scanning

Pour toutes les configurations d’code scanning, la vérification qui contient les résultats d’code scanning est : Résultats d’Code scanning . Les résultats de chaque outil d’analyse utilisé sont affichés séparément. Toutes les nouvelles alertes provoquées par les modifications apportées à la demande de tirage sont affichées sous forme d’annotations.

Pour voir l’ensemble complet des alertes de la branche analysée, cliquez sur Voir toutes les alertes de branche. Cette action ouvre l’affichage complet des alertes, dans lequel vous pouvez filtrer toutes les alertes sur la branche par type, gravité, étiquette, etc. Pour plus d’informations, consultez « Gestion des alertes d’analyse du code pour votre dépôt ».

Vérification des résultats de l’Code scanning sur une demande de tirage

Échecs de la vérification des résultats d’Code scanning

Si la vérification des résultats d’code scanning détecte des problèmes de gravité de type error, critical ou high, la vérification échoue et l’erreur est signalée dans les résultats de la vérification. Si tous les résultats trouvés par l’code scanning ont des gravités inférieures, les alertes sont traitées comme des avertissements ou des remarques et la vérification réussit.

Échec de la vérification d’code scanning sur une demande de tirage

Vous pouvez remplacer le comportement par défaut dans les paramètres de votre référentiel, en spécifiant le niveau des gravités et les gravités de sécurité qui provoqueront l’échec de la vérification d’une demande de tirage. Pour plus d’informations, consultez « Personnalisation de l’code scanning ».

Autres vérifications d’code scanning

Selon votre configuration, vous pouvez voir des vérifications supplémentaires qui s’exécutent sur les demandes de tirage quand l’code scanning est configurée. Il s’agit généralement de workflows qui analysent le code ou qui chargent les résultats d’code scanning. Ces vérifications sont utiles pour résoudre les problèmes liés à l’analyse.

Par exemple, si le dépôt utilise le CodeQL analysis workflow, une vérification CodeQL / Analyser (LANGAGE) est exécutée pour chaque langage avant l’exécution de la vérification des résultats. La vérification de l’analyse peut échouer en cas de problèmes de configuration ou si la demande de tirage interrompt la génération pour un langage dont l’analyse a besoin pour la compilation (par exemple, C/C++, C# ou Java).

Comme avec les autres vérifications de demande de tirage, vous pouvez voir les détails complets de l’échec de la vérification sous l’onglet Vérifications. Pour plus d’informations sur la configuration et la résolution des problèmes, consultez « Personnalisation de l’code scanning » ou « Résolution des problèmes liés au workflow CodeQL ».

Affichage d’une alerte sur votre demande de tirage

Vous pouvez voir toutes les alertes d’code scanning introduites dans une demande de tirage en consultant l’onglet Conversation . Code scanning publie une révision de la demande de tirage qui montre chaque alerte sous forme d’annotation sur les lignes de code qui ont déclenché l’alerte. Vous pouvez commenter les alertes, les rejeter et visualiser les chemins pour les alertes, directement à partir des annotations. Vous pouvez consulter tous les détails d’une alerte en cliquant sur le lien « Afficher plus de détails », qui vous mènera à la page des détails de l’alerte.

Annotation d’alerte dans un onglet Conversations de demande de tirage

Vous pouvez également consulter toutes les alertes d’code scanning dans l’onglet Fichiers modifiés de la demande de tirage. Les alertes d’code scanning existantes sur un fichier qui sont en dehors du différentiel des changements introduits dans la demande de tirage apparaîtront uniquement dans l’onglet Fichiers modifiés.

Si vous disposez d’une autorisation d’écriture pour le dépôt, certaines annotations contiennent des liens avec un contexte supplémentaire pour l’alerte. Dans l’exemple ci-dessus, à partir de l’analyse CodeQL, vous pouvez cliquer sur valeur fournie par l’utilisateur pour voir où les données non approuvées entrent dans le flux de données (la source). Dans ce cas, vous pouvez également afficher le chemin complet depuis la source vers le code qui utilise les données (le récepteur) en cliquant sur Afficher les chemins. Cela permet de vérifier facilement si les données ne sont pas approuvées ou si l’analyse n’a pas pu reconnaître une étape d’assainissement des données entre la source et le récepteur. Pour plus d’informations sur l’analyse du flux de données avec CodeQL, consultez « À propos de l’analyse du flux de données ».

Pour plus d’informations sur une alerte, les utilisateurs disposant d’une autorisation d’écriture peuvent cliquer sur le lien Afficher plus de détails affiché dans l’annotation. Cela vous permet de voir tout le contexte et les métadonnées fournis par l’outil dans un affichage d’alerte. Dans l’exemple ci-dessous, vous pouvez voir les étiquettes montrant la gravité, le type et les énumérations des faiblesses courantes pertinentes pour le problème. L’affichage montre également quel commit a introduit le problème.

L’état et les détails présentés sur la page de l’alerte reflètent uniquement l’état de l’alerte sur la branche par défaut du référentiel, même si l’alerte existe sur d’autres branches. Vous pouvez consulter l’état de l’alerte sur les branches autres que la branche par défaut dans la section Branches affectées sur le côté droit de la page de l’alerte. Si une alerte n’existe pas sur la branche par défaut, l’état de l’alerte est « dans la demande de tirage » ou « dans la branche », et il est grisé.

Dans l’affichage détaillé d’une alerte, certains outils d’code scanning , tels que l’analyse CodeQL, incluent également une description du problème et un lien Afficher plus qui vous permet d’obtenir des conseils sur la résolution de votre code.

Description de l’alerte et lien pour montrer plus d’informations

Commenter une alerte dans une demande de tirage

Vous pouvez commenter toute alerte d’code scanning introduite par les changements dans une demande de tirage. Les alertes apparaissent sous forme d’annotations dans l’onglet Conversation d’une demande de tirage, dans le cadre d’une révision de demande de tirage, et sont également affichées dans l’onglet Fichiers modifiés. Vous pouvez uniquement commenter les alertes introduites par les changements dans une demande de tirage. Les alertes d’code scanning existantes, sur des fichiers qui sont en dehors des changements introduits dans la demande de tirage, apparaîtront dans l’onglet Fichiers modifiés, mais ne pourront pas être commentées.

Vous pouvez choisir d’exiger que toutes les conversations dans une demande de tirage, y compris celles sur les alertes d’code scanning, soient résolues avant qu’une demande de tirage puisse être fusionnée. Pour plus d’informations, consultez « À propos des branches protégées ».

Résolution d’une alerte sur votre demande de tirage

Toute personne disposant d’un accès en poussée à une demande de tirage peut résoudre une alerte d’code scanning identifiée sur cette demande de tirage. Si vous commitez des modifications apportées à la demande de tirage, une nouvelle exécution des vérifications de la demande de tirage est déclenchée. Si vos modifications résolvent le problème, l’alerte est fermée et l’annotation supprimée.

Ignorer une alerte sur votre demande de tirage

Une autre façon de fermer une alerte consiste à l’ignorer. Vous pouvez ignorer une alerte si vous ne pensez pas qu’elle doit être résolue. Par exemple, dans le cas d’une erreur présente dans du code utilisé uniquement à des fins de test, ou quand l’effort de correction de l’erreur est supérieur à l’avantage potentiel que représente l’amélioration du code. Si vous disposez d’une autorisation d’écriture pour le dépôt, le bouton Ignorer est disponible dans les annotations de code et dans le résumé des alertes. Quand vous cliquez sur Ignorer, vous êtes invité à choisir une raison de fermer l’alerte. Capture d’écran d’une alerte d’analyse de code avec une liste déroulante pour choisir la raison du rejet mise en évidence Il est important de choisir le motif approprié dans le menu déroulant, car cela peut avoir une incidence sur l’inclusion ou non d’une requête dans une analyse future. Si vous le souhaitez, vous pouvez commenter un licenciement pour enregistrer le contexte d’un licenciement d’alerte. Le commentaire sur le licenciement est ajouté à la chronologie des alertes et peut être utilisé comme justification lors de l’audit et de la création de rapports. Vous pouvez récupérer ou définir un commentaire à l’aide de l’API REST d’analyse du code. Le commentaire est contenu dans dismissed_comment pour le point de terminaison alerts/{alert_number}. Pour plus d’informations, consultez « Analyse du code ».

Si vous ignorez une alerte CodeQL que vous considérez comme un résultat faux positif, par exemple parce que le code utilise une bibliothèque d’assainissement qui n’est pas prise en charge, envisagez de contribuer au dépôt CodeQL et d’améliorer l’analyse. Pour plus d’informations sur CodeQL, consultez « Contribution à CodeQL ».

Pour plus d’informations sur l’abandon d’alertes, consultez « Gestion des alertes d’code scanning pour votre dépôt ».