À propos des résultats d’code scanning sur les demandes de tirage
Dans les dépôts où l’code scanning est configurée en tant que vérification de demande de tirage, l’code scanning vérifie le code dans la demande de tirage. Par défaut, cela est limité aux demandes de tirage qui ciblent la branche par défaut, mais vous pouvez changer cette configuration dans GitHub Actions ou dans un système CI/CD tiers.
Si la fusion des modifications introduit de nouvelles alertes d’code scanning sur la branche cible, les alertes sont signalées aux emplacements suivants.
- Vérifier les résultats dans l’ de la demande de tirage
- L’onglet Conversation de la demande de tirage, dans le cadre d’une révision de demande de tirage
- L’onglet Fichiers modifiés de la demande de tirage
Si vous disposez d’une autorisation d’écriture pour le dépôt, vous pouvez voir les alertes d’code scanning existantes sous l’onglet Sécurité. Pour plus d’informations sur les alertes de dépôt, consultez « Gestion des alertes d’analyse du code pour votre référentiel ».
Dans les dépôts où l’code scanning est configurée pour effectuer une analyse chaque fois que du code est poussé, l’code scanning mappe également les résultats aux demandes de tirage ouvertes et ajoute les alertes sous forme d’annotations dans les mêmes emplacements que les autres vérifications de demande de tirage. Pour plus d’informations, consultez « Personnalisation de votre configuration avancée pour l’analyse de code ».
Si votre demande de tirage cible une branche protégée qui utilise l’code scanning et que le propriétaire du dépôt a configuré les vérifications d’état requises, la vérification « Résultats de l’Code scanning » doit réussir pour que vous puissiez fusionner la demande de tirage. Pour plus d’informations, consultez « À propos des branches protégées ».
À propos de l’code scanning en tant que vérification de demande de tirage
Comme il existe de nombreuses options pour configurer l’code scanning en tant que vérification de demande de tirage, la nature des vérifications et leur nombre peuvent varier d’un référentiel à l’autre.
Vérification des résultats de l’Code scanning
Pour toutes les configurations d’code scanning, la vérification qui contient les résultats d’code scanning est : Résultats de l’Code scanning . Les résultats de chaque outil d’analyse utilisé sont affichés séparément. Toutes les nouvelles alertes déclenchées par des modifications dans la demande de tirage sont affichées sous forme d’annotations.
Pour voir l’ensemble complet des alertes de la branche analysée, cliquez sur Voir toutes les alertes de branche. Cette action ouvre l’affichage complet des alertes, dans lequel vous pouvez filtrer toutes les alertes sur la branche par type, gravité, étiquette, etc. Pour plus d’informations, consultez « Gestion des alertes d’analyse du code pour votre référentiel ».
Échecs de la vérification des résultats de l’Code scanning
Si la vérification des résultats d’code scanning détecte des problèmes de gravité de type error
, critical
ou high
, la vérification échoue et l’erreur est signalée dans les résultats de la vérification. Si tous les résultats trouvés par l’code scanning ont des gravités inférieures, les alertes sont traitées comme des avertissements ou des remarques et la vérification réussit.
Vous pouvez remplacer le comportement par défaut dans les paramètres de votre référentiel, en spécifiant le niveau des gravités et les gravités de sécurité qui provoqueront l’échec de la vérification d’une demande de tirage. Pour plus d’informations, consultez « Personnalisation de votre configuration avancée pour l’analyse de code ».
Autres vérifications d’code scanning
Selon votre configuration, vous pouvez voir des vérifications supplémentaires qui s’exécutent sur les demandes de tirage quand l’code scanning est configurée. Il s’agit généralement de workflows qui analysent le code ou qui chargent les résultats d’code scanning. Ces vérifications sont utiles pour résoudre les problèmes liés à l’analyse.
Par exemple, si le dépôt utilise le Workflow d’analyse CodeQL, une vérification CodeQL / Analyser (LANGAGE) est exécutée pour chaque langage avant l’exécution de la vérification des résultats. La vérification de l’analyse peut échouer en cas de problèmes de configuration ou si la demande de tirage interrompt la génération pour un langage que l’analyse compile (par exemple, C/C++, C#, Go, et Java).
Comme avec les autres vérifications de demande de tirage, vous pouvez voir les détails complets de l’échec de la vérification sous l’onglet Vérifications. Pour plus d’informations sur la configuration et la résolution des problèmes, consultez « Personnalisation de votre configuration avancée pour l’analyse de code » ou « Résolution des problèmes d’analyse du code ».
Affichage d’une alerte sur votre demande de tirage
Vous pouvez voir toutes les alertes d’code scanning introduites dans une demande de tirage en consultant l’onglet Conversation. L’Code scanning publie une révision de la demande de tirage qui montre chaque alerte sous forme d’annotation sur les lignes de code qui ont déclenché l’alerte. Vous pouvez commenter les alertes, les rejeter et visualiser les chemins pour les alertes, directement à partir des annotations. Vous pouvez consulter tous les détails d’une alerte en cliquant sur le lien « Afficher plus de détails », qui vous mènera à la page des détails de l’alerte.
Vous pouvez également voir toutes les alertes d’code scanning sous l’onglet Fichiers modifiés de la demande de tirage. Les alertes d’code scanning existantes sur un fichier qui sont en dehors du différentiel des changements introduits dans la demande de tirage apparaîtront uniquement dans l’onglet Fichiers modifiés.
Si vous disposez d’une autorisation d’écriture pour le dépôt, certaines annotations contiennent des liens avec un contexte supplémentaire pour l’alerte. Dans l’exemple ci-dessus, à partir de l’analyse CodeQL, vous pouvez cliquer sur valeur fournie par l’utilisateur pour voir où les données non approuvées entrent dans le flux de données (la source). Dans ce cas, vous pouvez également afficher le chemin complet depuis la source vers le code qui utilise les données (le récepteur) en cliquant sur Afficher les chemins. Cela permet de vérifier facilement si les données ne sont pas approuvées ou si l’analyse n’a pas pu reconnaître une étape d’assainissement des données entre la source et le récepteur. Pour plus d’informations sur l’analyse du flux de données avec CodeQL, consultez « À propos de l’analyse du flux de données ».
Pour plus d’informations sur une alerte, les utilisateurs disposant d’une autorisation d’écriture peuvent cliquer sur le lien Afficher plus de détails affiché dans l’annotation. Cela vous permet de voir tout le contexte et les métadonnées fournis par l’outil dans un affichage d’alerte. Dans l’exemple ci-dessous, vous pouvez voir les étiquettes montrant la gravité, le type et les énumérations des faiblesses courantes pertinentes pour le problème. L’affichage montre également quel commit a introduit le problème.
L’état et les détails présentés sur la page de l’alerte reflètent uniquement l’état de l’alerte sur la branche par défaut du référentiel, même si l’alerte existe sur d’autres branches. Vous pouvez consulter l’état de l’alerte sur les branches autres que la branche par défaut dans la section Branches affectées sur le côté droit de la page de l’alerte. Si une alerte n’existe pas sur la branche par défaut, l’état de l’alerte est « dans la demande de tirage » ou « dans la branche », et il est grisé.
Dans l’affichage détaillé d’une alerte, certains outils d’code scanning , tels que l’analyse CodeQL, incluent également une description du problème et un lien Afficher plus qui vous permet d’obtenir des conseils sur la résolution de votre code.
Commenter une alerte dans une demande de tirage
Vous pouvez commenter toute alerte d’code scanning introduites par les changements dans une demande de tirage. Les alertes apparaissent sous forme d’annotations dans l’onglet Conversation d’une demande de tirage, dans le cadre d’une révision de demande de tirage, et sont également affichées dans l’onglet Fichiers modifiés. Vous pouvez uniquement commenter les alertes introduites par les changements dans une demande de tirage. Les alertes d’code scanning existantes, sur des fichiers qui sont en dehors des changements introduits dans la demande de tirage, apparaissent sous l’onglet Fichiers modifiés, mais ne peuvent pas être commentées.
Vous pouvez choisir d’exiger que toutes les conversations dans une demande de tirage, y compris celles sur les alertes d’code scanning, soient résolues avant qu’une demande de tirage puisse être fusionnée. Pour plus d’informations, consultez « À propos des branches protégées ».
Résolution d’une alerte sur votre demande de tirage
Toute personne disposant d’un accès en poussée à une demande de tirage peut résoudre une alerte d’code scanning identifiée sur cette demande de tirage. Si vous commitez des modifications apportées à la demande de tirage, une nouvelle exécution des vérifications de la demande de tirage est déclenchée. Si vos modifications résolvent le problème, l’alerte est fermée et l’annotation supprimée.
Ignorer une alerte sur votre demande de tirage
Une autre façon de fermer une alerte consiste à l’ignorer. Vous pouvez ignorer une alerte si vous ne pensez pas qu’elle doit être résolue. Par exemple, dans le cas d’une erreur présente dans du code utilisé uniquement à des fins de test, ou quand l’effort de correction de l’erreur est supérieur à l’avantage potentiel que représente l’amélioration du code. Si vous disposez d’une autorisation d’écriture pour le dépôt, un bouton Ignorer l’alerte est disponible dans les annotations de code et dans le résumé des alertes. Quand vous cliquez sur Ignorer l’alerte, vous êtes invité à choisir une raison de fermer l’alerte.
Il est important de choisir le motif approprié dans le menu déroulant, car cela peut avoir une incidence sur l’inclusion ou non d’une requête dans une analyse future. Si vous le souhaitez, vous pouvez commenter un licenciement pour enregistrer le contexte d’un licenciement d’alerte. Le commentaire sur le licenciement est ajouté à la chronologie des alertes et peut être utilisé comme justification lors de l’audit et de la création de rapports. Vous pouvez récupérer ou définir un commentaire à l’aide de l’API REST d’analyse du code. Le commentaire est contenu dans dismissed_comment
pour le point de terminaison alerts/{alert_number}
. Pour plus d’informations, consultez « Points de terminaison d’API REST pour l’analyse de codes ».
Si vous ignorez une alerte CodeQL que vous considérez comme un résultat faux positif, par exemple parce que le code utilise une bibliothèque d’assainissement qui n’est pas prise en charge, envisagez de contribuer au dépôt CodeQL et d’améliorer l’analyse. Pour plus d’informations sur CodeQL, consultez « Contribution à CodeQL ».
Pour plus d’informations sur la suppression des alertes, consultez « Gestion des alertes d’analyse du code pour votre référentiel ».