Définition de la configuration par défaut pour l’analyse du code

Vous pouvez rapidement sécuriser le code dans votre dépôt avec la configuration par défaut de l’code scanning.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de référentiels, propriétaire d’organisations, gestionnaires de sécurité et utilisateurs avec le rôle d’administrateur

Référentiels appartenant à l’organisation avec GitHub Advanced Security activé

Dans cet article

À propos de la configuration par défaut

La configuration par défaut de l’code scanning est la méthode la plus rapide, la plus simple et la moins exigeante en termes de maintenance pour activer l’code scanning sur votre dépôt. En fonction du code contenu dans votre dépôt, la configuration par défaut crée automatiquement une configuration d’code scanning personnalisée. Une fois l’installation par défaut activée, le code écrit dans les langages pris en charge par CodeQL dans votre référentiel sera analysé :

  • À chaque envoi (push) vers la branche par défaut du référentiel, ou toute branche protégée. Pour plus d’informations sur les branches protégées, consultez À propos des branches protégées.

  • Lors de la création ou de la validation d'une demande d'extraction basée sur la branche par défaut du référentiel, ou toute branche protégée, à l'exclusion des demandes d'extraction provenant de forks.

  • Selon une planification hebdomadaire.

Vous pouvez également activer la configuration par défaut pour plusieurs ou tous les référentiels d’une organisation en même temps. Pour plus d’informations sur l’activation en bloc, consultez Définition de la configuration par défaut pour l’analyse du code à grande échelle.

Si vous avez besoin d’exercer un contrôle plus précis sur la configuration de l’code scanning, définissez plutôt une configuration avancée. Pour plus d’informations, consultez « Configuration de la configuration par défaut pour l’analyse du code ».

Exigences relatives à l’utilisation de la configuration par défaut

Votre dépôt est éligible à la configuration par défaut de code scanning si :

  • GitHub Actions est activé.
  • GitHub Advanced Security est activé.

Nous vous recommandons d’activer l’installation par défaut pour les référentiels éligibles s’il est possible que les référentiels incluent au moins un langage pris en charge par CodeQL dans le futur. Si vous activez l’installation par défaut sur un référentiel qui n’inclut aucun langage pris en charge par CodeQL, la configuration par défaut n’exécute pas d’analyses ni n’utilise de minutes GitHub Actions. Si des langages pris en charge par CodeQL sont ajoutées au référentiel, la configuration par défaut commence automatiquement à analyser les langages pris en charge par CodeQL et à utiliser des minutes GitHub Actions. Pour plus d’informations sur les langages pris en charge par CodeQL, consultez « À propos de l’analyse du code avec CodeQL ».

Vous pouvez utiliser la configuration par défaut pour tous les langages pour les exécuteurs auto-hébergés ou les exécuteurs hébergés par GitHub. Consultez Attribuer des étiquettes aux exécuteurs plus loin dans cet article.

La configuration par défaut utilise le mode de génération none pour C# et Java et utilise le mode de génération autobuild pour d’autres langages compilés. Vous devez donc configurer vos exécuteurs auto-hébergés pour vous assurer qu’ils peuvent exécuter toutes les commandes nécessaires pour l’analyse C/C++, C# et Swift. L’analyse du code JavaScript/TypeScript, Go, Ruby, Python et Kotlin ne nécessite actuellement pas de configuration spéciale.

Personnalisation de la configuration par défaut

Nous vous recommandons de commencer à utiliser code scanning avec le programme d’installation par défaut. Une fois que vous avez initialement configuré la configuration par défaut, vous pouvez évaluer code scanning pour voir comment cela fonctionne pour vous. Si vous constatez que quelque chose ne fonctionne pas comme prévu, vous pouvez personnaliser la configuration par défaut afin de mieux répondre à vos besoins en matière de sécurité du code. Pour plus d’informations, consultez « Évaluation de la configuration par défaut pour l’analyse du code ».

Définition de l’installation par défaut pour un référentiel

Lorsque vous configurez initialement la configuration par défaut pour code scanning pour un référentiel, toutes les CodeQL-les langages pris en charge dans le référentiel seront analysées automatiquement. Les langages analysés avec succès seront conservés dans la nouvelle configuration par défaut. Les langages qui ne sont pas analysés avec succès seront automatiquement désélectionnés de la configuration par défaut.

Note

Si les analyses échouent pour toutes les CodeQL langues prises en charge dans un référentiel, la configuration par défaut sera toujours activée, mais elle n'exécutera aucune analyse et n'utilisera aucune minutes jusqu'à ce qu'une autre CodeQL langue prise en charge soit ajoutée au référentiel ou que la configuration par défaut soit reconfigurée manuellement, et que l'analyse d'une CodeQL langue prise en charge réussisse.

  1. Sur GitHub, accédez à la page principale du référentiel.

    Note

    Si vous configurez l’installation par défaut sur une duplication, vous devez d’abord activer GitHub Actions. Pour activer GitHub Actions, sous le nom de votre référentiel, cliquez sur Actions, puis cliquez sur Je comprends mes flux de travail, allez de avant et activez-les. N’oubliez pas que cette action active tous les flux de travail existants sur votre fork.

  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  4. Dans la section « Code scanning », sélectionnez Configuration , puis cliquez sur Par défaut.

    Capture d’écran de la section « Code scanning » des paramètres « Sécurité et analyse du code ». Le bouton « Configuration par défaut » est mis en évidence à l’aide d’un rectangle orange.

    Vous voyez alors une boîte de dialogue « Configuration par défaut de CodeQL » qui résume la définition de l’code scanning créée automatiquement par la configuration par défaut.

    1. Si vous le souhaitez, dans la section « Suites de requêtes » de la boîte de dialogue modale « Configuration par défaut de CodeQL », sélectionnez le menu déroulant Par défaut , puis cliquez sur la suite de requêtes CodeQL que vous souhaitez utiliser.

    Capture d’écran de la boîte de dialogue modale pour la configuration par défaut. Un bouton, intitulé « Par défaut » avec une flèche indiquant un menu déroulant, est encadré en orange foncé.

    Si vous choisissez la suite de requêtes Étendue, votre configuration de l’code scanning exécute des requêtes de gravité et de précision inférieures en plus des requêtes incluses dans la suite de requêtes Par défaut. Pour plus d’informations sur les suites de requêtes disponibles, consultez Suites de requêtes CodeQL.

    Note

    Si vous configurez l’code scanning pour utiliser la suite de requêtes Étendue, vous risquez de rencontrer un taux plus élevé d’alertes de faux positifs.

  5. Passez en revue les paramètres de l’installation par défaut sur votre référentiel, puis cliquez sur Activer CodeQL. Cela va déclencher un flux de travail permettant de tester la nouvelle configuration générée automatiquement.

    Note

    Si vous passez de la configuration avancée à la configuration par défaut, un avertissement s’affiche pour vous informer que la configuration par défaut va remplacer les configurations d’code scanning existantes. Cet avertissement signifie que la configuration par défaut va désactiver le fichier de workflow existant et bloquer les chargements d’API d’analyse CodeQL.

  6. Si vous souhaitez voir votre configuration par défaut une fois celle-ci activée, sélectionnez , puis cliquez sur Voir la configuration de CodeQL .

Attribuer des étiquettes aux exécuteurs

Note

Code scanning voit les exécuteurs attribués lorsque la configuration par défaut est activée. Si un exécuteur est assigné à un référentiel qui utilise déjà la configuration par défaut, vous devez désactiver et réactiver la configuration par défaut pour commencer à utiliser l’exécuteur. Si vous ajoutez un exécuteur et souhaitez commencer à l’utiliser, vous pouvez modifier la configuration manuellement sans avoir à désactiver et réactiver la configuration par défaut.

Vous pouvez également attribuer aux exécuteurs auto-hébergésavec l’étiquette code-scanning. Pour plus d’informations sur l’attribution d’étiquettes aux exécuteurs auto-hébergés, consultez Utilisation d’étiquettes avec des exécuteurs auto-hébergés.

Étapes suivantes

Une fois que votre configuration fonctionne bien au moins une fois, vous pouvez commencer à examiner et à résoudre les alertes code scanning. Pour plus d’informations sur les alertes code scanning, consultez À propos des alertes d’analyse du code et Évaluation des alertes d’analyse du code pour votre référentiel.

Une fois que vous avez configuré l’installation par défaut pour code scanning, vous pouvez vous informer sur l’évaluation de son fonctionnement et sur les prochaines étapes à suivre pour la personnaliser. Pour plus d’informations, consultez « Évaluation de la configuration par défaut pour l’analyse du code ».

Vous trouverez des informations détaillées sur votre configuration d’code scanning, notamment des horodatages pour chaque analyse et le pourcentage de fichiers analysés, dans la page d’état de l’outil. Pour plus d’informations, consultez « À propos de la page d’état de l’outil pour l’analyse du code ».

Quand vous définissez la configuration par défaut, vous pouvez rencontrer une erreur. Pour plus d’informations sur la résolution des problèmes spécifiques, consultez Résolution des problèmes d’analyse du code.