Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.

À propos de l’analyse du code CodeQL dans votre système d’intégration continue

Vous pouvez analyser votre code avec CodeQL dans un système d’intégration continue tiers et charger les résultats dans GitHub.com. Les alertes d’code scanning obtenues s’affichent en même temps que toutes les alertes générées dans GitHub Enterprise Cloud.

Code scanning est disponible pour tous les dépôts publics sur GitHub.com. Pour utiliser code scanning dans un dépôt privé appartenant à une organisation, vous devez avoir une licence pour GitHub Advanced Security. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

À propos de l’code scanning CodeQL dans votre système CI

Code scanning est une fonctionnalité que vous utilisez pour analyser le code dans un dépôt GitHub afin de détecter d’éventuelles vulnérabilités de sécurité et erreurs de codage. Tous les problèmes identifiés par l’analyse sont affichés dans GitHub Enterprise Cloud. Pour plus d’informations, consultez « À propos de l’code scanning avec CodeQL ».

Vous pouvez exécuter l’code scanning CodeQL dans GitHub Enterprise Cloud en utilisant GitHub Actions. Si vous utilisez un système tiers d’intégration continue ou de livraison continue/déploiement continu (CI/CD), vous pouvez également exécuter l’analyse CodeQL sur votre système existant et charger les résultats vers GitHub.com.

Vous ajoutez l’CodeQL CLI à votre système tiers, puis appelez l’outil pour analyser le code et charger les résultats SARIF sur GitHub Enterprise Cloud. Les alertes d’code scanning obtenues s’affichent en même temps que toutes les alertes générées dans GitHub Enterprise Cloud. Pour plus d’informations, consultez « À propos de l’analyse du code CodeQL dans votre système CI ».

Si vous exécutez l’analyse du code en utilisant plusieurs configurations, il arrive qu’une alerte ait plusieurs origines d’analyse. Si une alerte a plusieurs origines d’analyse, vous pouvez afficher l’état de l’alerte pour chaque origine d’analyse sur la page de l’alerte. Pour plus d’informations, consultez « À propos des origines d’analyse ».

Remarque : le chargement de données SARIF à afficher comme résultats code scanning dans GitHub Enterprise Cloud est pris en charge pour des dépôts appartenant à l’organisation avec GitHub Advanced Security activé, ainsi que des dépôts publics sur GitHub.com. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ».

À propos de l’CodeQL CLI

CodeQL CLI est un produit autonome que vous pouvez utiliser pour analyser le code. Son objectif principal est de générer une représentation de base de données d’un codebase, une base de données CodeQL. Une fois que la base de données est prête, vous pouvez l’interroger de manière interactive, ou exécuter une suite de requêtes pour générer un ensemble de résultats au format SARIF et charger les résultats dans GitHub.com.

Utilisez l’CodeQL CLI pour analyser :

  • Les langages dynamiques, par exemple, JavaScript et Python.
  • Langages compilés, par exemple, C/C++, C#, Go, et Java.
  • Les codebases écrits dans un mélange de langages.

Pour plus d’informations, consultez « Installation de l’CodeQL CLI dans votre système CI ».

Remarques :

  • L’utilisation de CodeQL CLI est gratuite sur des dépôts publics gérés sur GitHub.com et disponible sur des dépôts privés appartenant à des clients disposant d’une licence Advanced Security. Pour plus d’informations, consultez « Conditions générales de GitHub Enterprise Cloud CodeQL » et « Interface CLI de CodeQL ».
  • CodeQL CLI n’est actuellement pas compatible avec les distributions Linux non-glibc comme Alpine Linux (basée sur musl).