Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.
All products
Sécurité du code

Cette version de GitHub Enterprise a été abandonnée le 2023-03-15. Aucune publication de correctifs n’est effectuée, même pour les problèmes de sécurité critiques. Pour de meilleures performances, une sécurité améliorée et de nouvelles fonctionnalités, effectuez une mise à niveau vers la dernière version de GitHub Enterprise. Pour obtenir de l’aide sur la mise à niveau, contactez le support GitHub Enterprise.

À propos des alertes d’analyse du code

Dans cet article

Découvrez les différents types d’alertes d’analyse de code et les informations qui vous aident à comprendre le problème que chaque alerte met en évidence.

Code scanning est disponible pour les dépôts appartenant à l’organisation dans GitHub Enterprise Server. Cette fonctionnalité nécessite une licence pour GitHub Advanced Security. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Remarque : Votre administrateur de site doit activer l’code scanning pour votre instance GitHub Enterprise Server afin que vous puissiez utiliser cette fonctionnalité. Pour plus d’informations, consultez « Configuration de l’analyse du code pour votre appliance ».

À propos des alertes d’code scanning

Vous pouvez configurer l’code scanning pour vérifier le code dans un référentiel en utilisant l’analyse CodeQL par défaut, une analyse tierce ou plusieurs types d’analyse. Une fois l’analyse terminée, les alertes résultantes s’affichent côte à côte dans l’affichage de sécurité du dépôt. Les résultats provenant d’outils tiers ou de requêtes personnalisées peuvent ne pas inclure toutes les propriétés que vous voyez pour les alertes détectées par l’analyse CodeQL par défaut de GitHub. Pour plus d’informations, consultez « Configuration de l’analyse du code pour un référentiel ».

Par défaut, l’code scanning analyse votre code périodiquement sur la branche par défaut et lors des demandes de tirage (pull request). Pour plus d’informations sur la gestion des alertes de demande de tirage, consultez « Triage des alertes d’analyse du code dans les demandes de tirage (pull request) ».

Vous pouvez auditer les actions effectuées en réponse aux alertes code scanning à l’aide des outils GitHub. Pour plus d’informations, consultez « Audit des alertes de sécurité ».

À propos des détails des alertes

Chaque alerte met en évidence un problème avec le code et le nom de l’outil qui l’a identifié. Vous pouvez voir la ligne de code qui a déclenché l’alerte ainsi que les propriétés de l’alerte, telles que la gravité de l’alerte, la gravité de sécurité et la nature du problème. Les alertes vous indiquent également quand le problème a été introduit pour la première fois. Pour les alertes identifiées par l’analyse CodeQL, vous voyez également des informations sur la façon de résoudre le problème.

Capture d’écran montrant les éléments d’une alerte d’code scanning, notamment le titre de l’alerte et les lignes de code pertinentes à gauche, ainsi que le niveau de gravité, les branches affectées et les faiblesses à droite.

Si vous configurez l’code scanning avec CodeQL, vous pouvez également trouver des problèmes de flux de données dans votre code. L’analyse du flux de données détecte les problèmes de sécurité potentiels dans le code, tels que l’utilisation de données non sécurisée, le passage d’arguments dangereux à des fonctions et la fuite d’informations sensibles.

Quand l’code scanning signale des alertes de flux de données, GitHub vous montre comment les données transitent par le code. L’Code scanning vous permet d’identifier les zones de votre code qui laissent échapper des informations sensibles et qui peuvent être le point d’entrée d’attaques par des utilisateurs malveillants.

À propos des niveaux de gravité

Les niveaux de gravité d’alerte peuvent être Error, Warning et Note.

Si l’code scanning est activée en tant que vérification de demande de tirage, la vérification échoue si elle détecte des résultats avec une gravité de error. Vous pouvez spécifier les niveaux de sévérité des alertes d’analyse de code qui provoquent l’échec de la vérification. Pour plus d’informations, consultez « Personnalisation de l’analyse du code ».

À propos des niveaux de gravité de sécurité

L’Code scanning affiche les niveaux de gravité de sécurité pour les alertes générées par les requêtes de sécurité. Les niveaux de gravité de sécurité peuvent être Critical, High, Medium ou Low.

Pour calculer la gravité de sécurité d’une alerte, nous utilisons des données CVSS (Common Vulnerability Scoring System). CVSS est un framework ouvert pour la communication des caractéristiques et de la gravité des vulnérabilités logicielles et est couramment utilisé par d’autres produits de sécurité pour évaluer les alertes. Pour plus d’informations sur le calcul des niveaux de gravité, consultez ce billet de blog.

Par défaut, toutes les résultats d’code scanning avec une gravité de sécurité de Critical ou High entraînent un échec de vérification. Vous pouvez spécifier le niveau de gravité de sécurité pour les résultats d’code scanning qui doit provoquer un échec de vérification. Pour plus d’informations, consultez « Personnalisation de l’analyse du code ».

À propos des étiquettes pour les alertes introuvables dans le code de l’application

GitHub Enterprise Server affecte une étiquette de catégorie aux alertes introuvables dans le code de l’application. L’étiquette est liée à l’emplacement de l’alerte.

  • Généré : code généré par le processus de génération
  • Test : code de test
  • Bibliothèque : bibliothèque ou code tiers
  • Documentation : Documentation

L’Code scanning classe les fichiers par chemin de fichier. Vous ne pouvez pas classer manuellement les fichiers sources.

Dans cet exemple, une alerte est marquée comme étant dans le code « Test » dans la liste d’alertes d’code scanning.

Capture d’écran d’une alerte dans la liste d’code scanning. À droite du titre, une étiquette « Test » est mise en évidence avec un encadré orange foncé.

Lorsque vous cliquez pour voir les détails de l’alerte, vous voyez que le chemin du fichier est marqué comme code « Test ».

Capture d’écran montrant les détails d’une alerte. Le chemin du fichier et l’étiquette « Test » sont mis en évidence avec un encadré orange foncé.