Remarque : Votre administrateur de site doit activer l’code scanning pour votre instance GitHub Enterprise Server afin que vous puissiez utiliser cette fonctionnalité. Si vous souhaitez utiliser GitHub Actions pour analyser votre code, l’administrateur de site doit également activer GitHub Actions et configurer l’infrastructure nécessaire. Pour plus d’informations, consultez « Configuration de l’analyse de code pour votre appliance ».
À propos de l’code scanning
L’Code scanning vous permet d’intercepter les vulnérabilités dans le code de votre dépôt. L’code scanning CodeQL vous permet de sélectionner des suites de requêtes personnalisées ou intégrées à utiliser dans votre analyse, de définir une planification d’analyse spécifique, de choisir les événements qui déclenchent une analyse, etc.
Votre administrateur de site peut également mettre des actions tierces à la disposition des utilisateurs pour l’code scanning, en configurant GitHub Connect. Pour plus d’informations, consultez « Configuration de l’analyse de code pour votre appliance ».
Si vous exécutez l’analyse du code en utilisant plusieurs configurations, il arrive qu’une alerte ait plusieurs origines d’analyse. Si une alerte a plusieurs origines d’analyse, vous pouvez afficher l’état de l’alerte pour chaque origine d’analyse sur la page de l’alerte. Pour plus d’informations, consultez « À propos des alertes d’analyse du code ».
Remarque : Cet article décrit les fonctionnalités disponibles avec la version de l’action CodeQL et le bundle CodeQL CLI associé inclus dans la mise en production initiale de cette version de GitHub Enterprise Server. Si votre entreprise utilise une version plus récente de l’action CodeQL, consultez la version GitHub Enterprise Cloud de cet article pour obtenir plus d’informations sur les dernières fonctionnalités. Pour plus d’informations sur l’utilisation de la dernière version, consultez « Configuration de l’analyse de code pour votre appliance ».
Prérequis
Votre dépôt a droit à l’code scanning si :
- Il utilise des langages pris en charge par CodeQL ou vous prévoyez de générer des résultats d’analyse de code avec un outil tiers.
- GitHub Actions est activé.
- GitHub Advanced Security est activé.
Si le serveur sur lequel vous exécutez GitHub Enterprise Server n’est pas connecté à Internet, votre administrateur de site peut activer l’code scanning CodeQL en rendant le bundle d’analyse CodeQL disponible sur le serveur. Pour plus d’informations, consultez « Configuration de l’analyse de code pour votre appliance ».
Configuration de l’code scanning avec l’action CodeQL
-
Dans votre instance GitHub Enterprise Server, accédez à la page principale du dépôt.
-
Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.
-
À droite de « Alertes d’Code scanning », cliquez sur Configurer l’code scanning. Si « Alertes d’code scanning » n’est pas disponible, vous devez demander à un propriétaire d’organisation ou à un administrateur de dépôt d’activer GitHub Advanced Security. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d'analyse pour votre organisation » ou « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ».
-
Sous « Bien démarrer avec l’code scanning », cliquez sur Configurer ce workflow sur le Workflow d’analyse CodeQL ou sur un workflow tiers.
Les workflows s’affichent uniquement s’ils sont pertinents pour les langages de programmation détectés dans le dépôt. Le Workflow d’analyse CodeQL est toujours affiché, mais le bouton « Configurer ce workflow » n’est activé que si l’analyse CodeQL prend en charge les langages présents dans le dépôt.
-
Pour personnaliser la façon dont l’code scanning analyse votre code, modifiez le workflow.
En règle générale, vous pouvez commiter le Workflow d’analyse CodeQL sans apporter aucun changement à celui-ci. Toutefois, de nombreux workflows tiers nécessitent une configuration supplémentaire. Lisez donc les commentaires dans le workflow avant de commiter.
Pour plus d’informations, consultez « Personnalisation de l’analyse du code » et « Analyse du code CodeQL pour les langages compilés ».
-
Cliquez sur Commiter les changements... pour afficher le formulaire de commit des changements.
-
Dans le champ de message de commit, tapez un message de commit.
-
Indiquez si vous voulez commiter directement dans la branche par défaut ou créer une branche et démarrer une demande de tirage (pull request).
-
Cliquez sur Valider le nouveau fichier ou Proposer un nouveau fichier.
Dans le Workflow d’analyse CodeQL suggéré, l’code scanning est configurée pour analyser votre code chaque fois que vous poussez un changement vers la branche par défaut ou des branches protégées, ou que vous déclenchez une demande de tirage (pull request) sur la branche par défaut. En conséquence, l’code scanning commence.
Les déclencheurs on:pull_request
et on:push
pour l’analyse du code sont chacun utiles à des fins différentes. Pour plus d’informations, consultez « Personnalisation de l’analyse du code ».
Pour plus d’informations sur l’activation en bloc, consultez « Définition de l'analyse du code avec CodeQL à grande échelle ».
Étapes suivantes
Après avoir configuré l’code scanning et autorisé ses actions, vous pouvez :
- Afficher toutes les alertes d’code scanning générées pour ce dépôt. Pour plus d’informations, consultez « Gestion des alertes d’analyse du code pour votre référentiel ».
- Afficher toutes les alertes générées pour une demande de tirage envoyée après que vous avez configuré l’code scanning. Pour plus d’informations, consultez « Triage des alertes d’analyse du code dans les demandes de tirage (pull request) ».
- Configurer des notifications pour les exécutions terminées. Pour plus d’informations, consultez « Configuration des notifications ».
- Découvrir les vérifications de l’code scanning sur les demandes de tirage. Pour plus d’informations, consultez « Triage des alertes d’analyse du code dans les demandes de tirage (pull request) ».
- Afficher les journaux générés par l’code scanning. Pour plus d’informations, consultez « Affichage des journaux d’analyse du code ».
- Investiguer les problèmes qui se produisent avec la configuration initiale de l’code scanning. Pour plus d’informations, consultez « Résolution des problèmes d’analyse du code ».
- Personnaliser la façon dont l’code scanning analyse le code dans votre dépôt. Pour plus d’informations, consultez « Personnalisation de l’analyse du code ».