Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.
GitHub AE est actuellement en version limitée.
All products
Sécurité du code

À propos de l’analyse du code CodeQL dans votre système d’intégration continue

Exécuter l’analyse du code CodeQL dans votre CI1 sur 4 dans le parcours d’apprentissage
Suivant:Installation de l’interface CLI de CodeQL dans votre système CI

Dans cet article

Vous pouvez analyser votre code avec CodeQL dans un système d’intégration continue tiers et charger les résultats dans votre entreprise. Les alertes d’code scanning obtenues s’affichent en même temps que toutes les alertes générées dans GitHub AE.

Code scanning est disponible pour les dépôts appartenant à l’organisation dans GitHub AE. Il s’agit d’une fonctionnalité de GitHub Advanced Security (gratuite avec la version bêta). Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

À propos de l’code scanning CodeQL dans votre système CI

Code scanning es une fonctionnalité que vous utilisez pour analyser le code dans un dépôt GitHub afin de détecter d’éventuelles vulnérabilités de sécurité et erreurs de codage. Tous les problèmes identifiés par l’analyse sont affichés dans GitHub AE. Pour plus d’informations, consultez « À propos de l’analyse du code avec CodeQL ».

Vous pouvez exécuter l’code scanning CodeQL dans GitHub AE en utilisant GitHub Actions. Si vous utilisez un système tiers d’intégration continue ou de livraison continue/déploiement continu (CI/CD), vous pouvez également exécuter l’analyse CodeQL sur votre système existant et charger les résultats vers votre entreprise.

Vous ajoutez l’CodeQL CLI à votre système tiers, puis appelez l’outil pour analyser le code et charger les résultats SARIF sur GitHub AE. Les alertes d’code scanning obtenues s’affichent en même temps que toutes les alertes générées dans GitHub AE.

Si vous exécutez l’analyse du code en utilisant plusieurs configurations, il arrive qu’une alerte ait plusieurs origines d’analyse. Si une alerte a plusieurs origines d’analyse, vous pouvez afficher l’état de l’alerte pour chaque origine d’analyse sur la page de l’alerte. Pour plus d’informations, consultez « À propos des alertes d’analyse du code ».

Remarque : le chargement de données SARIF à afficher comme résultats code scanning dans GitHub AE est pris en charge pour des dépôts appartenant à l’organisation avec GitHub Advanced Security activé. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ».

À propos de l’CodeQL CLI

CodeQL CLI est un produit autonome que vous pouvez utiliser pour analyser le code. Son objectif principal est de générer une représentation de base de données d’un codebase, une base de données CodeQL. Une fois que la base de données est prête, vous pouvez l’interroger de manière interactive, ou exécuter une suite de requêtes pour générer un ensemble de résultats au format SARIF et charger les résultats dans votre entreprise.

Utilisez l’CodeQL CLI pour analyser :

  • Les langages dynamiques, par exemple, JavaScript et Python.
  • Langages compilés, par exemple, C/C++, C#, et Java.
  • Les codebases écrits dans un mélange de langages.

Pour plus d’informations, consultez « Installation de l’interface CLI de CodeQL dans votre système CI ».

Remarques :

  • L’CodeQL CLI est disponible pour les clients disposant d’une licence Advanced Security.

  • CodeQL CLI n’est actuellement pas compatible avec les distributions Linux non-glibc comme Alpine Linux (basée sur musl).

SuivantInstallation de l’interface CLI de CodeQL dans votre système CI