Modification de la configuration d’installation par défaut

Vous pouvez modifier votre configuration existante de l’installation par défaut pour code scanning afin de mieux répondre à vos besoins en matière de sécurité du code.

Qui peut utiliser cette fonctionnalité ?

Code scanning est disponible pour les dépôts appartenant à l’organisation dans GitHub Enterprise Server. Cette fonctionnalité nécessite une licence pour GitHub Advanced Security. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Dans cet article

À propos de la modification de votre configuration d’installation par défaut

Après avoir exécuté une analyse initiale de votre code avec la configuration par défaut, vous devriez peut-être apporter des modifications à votre configuration pour mieux répondre aux besoins de sécurité de votre code. Pour les configurations existantes de l’installation par défaut, vous pouvez modifier La suite de requêtes s’exécute pendant l’analyse. Pour plus d’informations sur les suites de requêtes disponibles, consultez « Suites de requêtes CodeQL ».

Si votre codebase dépend d'une bibliothèque ou d'un cadre qui n'est pas reconnu par les bibliothèques standard incluses dans CodeQL, vous pouvez également étendre la couverture CodeQL dans la configuration par défaut en utilisant des packs de modèles CodeQL. Pour plus d'informations, consultez « Extension de la couverture de CodeQL avec les packs de modèles CodeQL dans la configuration par défaut ».

Si vous devez modifier d’autres aspects de votre configuration code scanning, envisagez une configuration avancée. Pour plus d’informations, consultez « Définition de la configuration avancée pour l’analyse du code ».

Personnalisation de votre configuration existante de l’installation par défaut

  1. Dans votre instance GitHub Enterprise Server, accédez à la page principale du dépôt.

  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  4. Dans la ligne "CodeQL analysis" de la section "Code scanning", sélectionnez , puis cliquez sur Affichez la configuration CodeQL.

  5. Dans la fenêtre "CodeQL default configuration", cliquez sur Modifier.

  6. Si vous le souhaitez, dans la section « Langues », sélectionnez ou désélectionnez les langues pour l’analyse.

  7. Si vous le souhaitez, dans la ligne « Suite de requêtes » de la section « Paramètres d’analyse », sélectionnez une suite de requêtes différente à exécuter sur votre code.

  8. Pour mettre à jour votre configuration, ainsi qu’exécuter une analyse initiale de votre code avec la nouvelle configuration, cliquez sur Enregistrer les modifications. Toutes les analyses futures utiliseront votre nouvelle configuration.

Définition des gravités d’alerte qui causent un échec de la vérification pour une demande de tirage

Lorsque vous activez code scanning sur les demandes de tirage (pull request), la vérification échoue uniquement si une ou plusieurs alertes de gravité error, ou de gravité de sécurité critical ou high sont détectées. La vérification réussit si des alertes avec une gravité ou une gravité de sécurité inférieure sont détectées. Pour les codebases importants, il peut être souhaitable que la vérification code scanning échoue si des alertes sont détectées, de sorte que l’alerte doit être corrigée ou ignorée avant la fusion des modifications du code. Pour plus d’informations sur les niveaux de gravité, consultez « À propos des niveaux de gravité d’alerte et de gravité de sécurité ».

  1. Dans votre instance GitHub Enterprise Server, accédez à la page principale du dépôt.

  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  4. Sous « Code scanning », à droite de « Échec de la vérification », utilisez le menu déroulant pour sélectionner le niveau de gravité qui doit provoquer l’échec de la vérification d’une demande de tirage.

Extension de la couverture CodeQL avec les packs de modèles CodeQL dans la configuration par défaut

Remarque : Les packs de modèle CodeQL et l’éditeur de modèle CodeQL sont actuellement en version bêta et peuvent être susceptibles d’être modifiés. Pendant la version bêta, les packs de modèles sont pris en charge uniquement par l’analyse Java/Kotlin.

Si vous utilisez des cadres et des bibliothèques qui ne sont pas reconnus par les bibliothèques standard incluses dans CodeQL, vous pouvez modéliser vos dépendances et étendre l'analyse de code scanning. Pour plus d'informations, consultez Langues et cadres pris en charge dans la documentation pour CodeQL.

Pour la configuration par défaut, vous devez définir les modèles de vos dépendances supplémentaires dans un pack de modèles CodeQL. Vous pouvez étendre la couverture dans la configuration par défaut avec les packs de modèles CodeQL pour des référentiels individuels ou à grande échelle pour tous les référentiels d’une organisation.

Pour plus d’informations sur les packs de modèles CodeQL et écrire le vôtre, consultez « Utilisation de l’éditeur de modèle CodeQL ».

Extension de la couverture d’un référentiel

  1. Dans l’annuaire .github/codeql/extensions du référentiel, copiez le répertoire du pack de modèles qui doit inclure un fichier codeql-pack.yml et tous les fichiers .yml contenant des modèles supplémentaires pour les bibliothèques ou les cadres que vous souhaitez inclure dans votre analyse.
  2. Les packs de modèles seront automatiquement détectés et utilisés dans votre analyse code scanning.
  3. Si vous modifiez ultérieurement votre configuration pour utiliser la configuration avancée, tous les packs de modèles dans l’annuaire .github/codeql/extensions seront toujours reconnus et utilisés.

Extension de la couverture pour tous les référentiels d’une organisation

Remarque : Si vous étendez la couverture avec des packs de modèles CodeQL pour tous les référentiels d’une organisation, les packs de modèles que vous spécifiez doivent être publiés dans les GitHub Container registry et être accessibles aux référentiels qui exécutent l’analyse du code. Pour plus d’informations, consultez « Configuration du contrôle d’accès et de la visibilité d’un package ».

  1. Dans l’angle supérieur droit de GitHub Enterprise Server, sélectionnez votre photo de profil, puis sur Vos organisations.

    Capture d’écran du menu déroulant sous l’image de profil de @octocat. « Vos organisations » est présenté en orange foncé.

  2. Sous le nom de votre organisation, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran des onglets dans le profil d’une organisation. L’onglet « Paramètres » est présenté en orange foncé.

  3. Cliquez sur Analyse et sécurité du code.

  4. Cherchez la section « Code scanning ».

  5. À côté de « Étendre l’analyse CodeQL », cliquez sur Configurer.

  6. Entrez des références aux packs de modèles publiés que vous souhaitez utiliser, une par ligne, puis cliquez sur Enregistrer.

    Capture d’écran de la vue « Étendre l’analyse CodeQL » dans les paramètres d’une organisation.

  7. Les packs de modèles sont automatiquement détectés et utilisés lorsque code scanning s’exécute sur n’importe quel référentiel de l’organisation avec la configuration par défaut activée.