Indicateurs d’alerte de demande de tirage CodeQL

Comprendre les performances de CodeQL dans les demandes de tirage au sein de vos organisations.

Qui peut utiliser cette fonctionnalité ?

L’accès nécessite :

  • Vues de l’organisation : accès en écriture aux référentiels de l’organisation
  • Vues d’entreprise : propriétaires et responsables de la sécurité de l’organisation

Organisations appartenant à un compte GitHub Team avec GitHub Code Security, ou appartenant à un compte GitHub Enterprise avec GitHub Code Security

Dans cet article

Aperçu

La vue d’ensemble des métriques pour les alertes de pull request de CodeQL dans la vue d’ensemble de la sécurité vous aide à comprendre comment CodeQL prévient les vulnérabilités dans les pull requests de votre organisation ou de toutes les organisations de votre entreprise. Vous pouvez afficher l’ensemble du jeu de données ou filtrer pour des critères spécifiques, ce qui facilite l’identification des référentiels où vous devrez peut-être prendre des mesures pour rechercher et réduire les risques de sécurité.

Métriques disponibles

Cet aperçu vous présente un résumé du nombre de vulnérabilités évitées grâce à CodeQL qui ont été détectées dans les demandes de tirage. Les métriques sont suivies uniquement pour les pull requests qui ont été fusionnées dans les branches par défaut des dépôts de vos organisations.

Vous pouvez également consulter des indicateurs plus détaillés, tels que le nombre d'alertes corrigées avec et sans Copilot correction automatique suggestions, le nombre d'alertes non résolues et fusionnées, ainsi que le nombre d'alertes rejetées comme faux positifs ou dont le risque a été accepté.

Vous pouvez également afficher :

  • Les règles qui provoquent le plus d’alertes et le nombre d’alertes auxquelles chaque règle est associée.

  • Le nombre d’alertes qui ont été fusionnées dans la branche par défaut sans être résolues, et le nombre d’alertes rejetées en raison d’un risque acceptable.

  • Nombre d’alertes corrigées à l’aide d’une suggestion Copilot correction automatique acceptée, affiché sous forme de fraction du nombre total de suggestions Copilot correction automatique disponibles.

  • Taux de correction, dans un graphique montrant le pourcentage d’alertes qui ont été corrigées avec une suggestion Copilot correction automatique disponible et le pourcentage d’alertes qui ont été corrigées sans une suggestion Copilot correction automatique.

  • Temps moyen de correction, sous forme de graphique indiquant l'âge moyen des alertes clôturées qui ont été corrigées à l'aide d'une suggestion Copilot correction automatique disponible, et l'âge moyen des alertes clôturées qui ont été corrigées sans suggestion Copilot correction automatique.

          [!NOTE] Les métriques pour Copilot correction automatique ne seront affichées que pour les référentiels où Copilot correction automatique est activé.

Visibilité

Vous pouvez consulter les indicateurs code scanning d'un dépôt si vous avez :

  • Rôle admin du référentiel
  • Un rôle de dépôt personnalisé doté de l'autorisation détaillée « Afficher les alertes code scanning » pour le dépôt
  • Accès aux alertes pour le référentiel

Étapes suivantes

Pour rechercher vos métriques d’alerte de pull request, consultez Affichage des indicateurs pour les alertes relatives aux demandes de tirage.