À propos de l’analyse du code

Vous pouvez utiliser code scanning pour rechercher des vulnérabilités et des erreurs de sécurité dans le code de votre projet sur GitHub.

Qui peut utiliser cette fonctionnalité ?

Code scanning est disponible pour les types de référentiels suivants :

  • Des référentiels publics sur GitHub.com
  • Référentiels appartenant à l’organisation sur GitHub Team, GitHub Enterprise Cloud, ou GitHub Enterprise Server, avec GitHub Code Security activé.

Dans cet article

Remarque

Votre administrateur de site doit activer l’code scanning avant de pouvoir utiliser cette fonctionnalité. Pour plus d’informations, consultez « Configuration de l’analyse de code pour votre appliance ».

Vous ne pourrez peut-être pas activer ou désactiver code scanning si un propriétaire d’entreprise a défini une stratégie GitHub Code Security au niveau de l’entreprise. Pour plus d’informations, consultez « Application de stratégies de sécurité et d’analyse du code pour votre entreprise ».

Code scanning es une fonctionnalité que vous utilisez pour analyser le code dans un dépôt GitHub afin de détecter d’éventuelles vulnérabilités de sécurité et erreurs de codage. Tous les problèmes identifiés par l’analyse sont énumérés dans votre référentiel.

Vous pouvez utiliser code scanning pour rechercher, trier et hiérarchiser les correctifs pour les problèmes existants dans votre code. Code scanning empêche également les développeurs d’introduire de nouveaux problèmes. Vous pouvez planifier des analyses pour des jours et des heures spécifiques, ou déclencher des analyses quand un événement spécifique se produit dans le dépôt, comme une poussée (push).

Si code scanning trouve une vulnérabilité ou une erreur potentielle dans votre code, GitHub affiche une alerte dans le référentiel. Après avoir corrigé le code qui a déclenché l’alerte, GitHub ferme l’alerte. Pour plus d’informations, consultez « Résoudre les alertes d'analyse de code ».

Pour surveiller les résultats de code scanning dans vos dépôts ou dans votre organisation, vous pouvez utiliser des webhooks et de l’API code scanning. Pour plus d’informations sur les webhooks pour code scanning, consultez Événements et charges utiles du webhook. Pour plus d’informations sur les points de terminaison d’API, consultez Points de terminaison d’API REST pour l’analyse de codes.

Pour commencer avec code scanning, référez-vous à Définition de la configuration par défaut pour l’analyse du code.

À propos des outils pour code scanning

Vous pouvez configurer code scanning pour utiliser le CodeQL produit géré par GitHub ou un outil tiers code scanning .

À propos de l’analyse CodeQL

          CodeQL est le moteur d’analyse de code développé par GitHub pour automatiser les vérifications de sécurité. Vous pouvez analyser votre code à l’aide de CodeQL et afficher les résultats sous forme d’alertes d’code scanning. Pour plus d’informations sur CodeQL, consultez [AUTOTITLE](/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning-with-codeql).

À propos des outils tiers code scanning

L’Code scanning est interopérable avec des outils d’analyse de code tiers qui génèrent des données SARIF (Static Analysis Results Interchange Format). Le format SARIF est un standard ouvert. Pour plus d’informations, consultez « Prise en charge de SARIF pour l’analyse du code ».

Vous pouvez exécuter des outils d'analyse tiers dans GitHub en utilisant des actions ou dans un système d'intégration continue (CI) externe. Pour plus d’informations, consultez Configuration avancée de l’analyse du code ou Chargement d’un fichier SARIF sur GitHub.

À propos de page d’état de l’outil

La balise page d’état de l’outil affiche des informations utiles sur tous vos outils d'analyse de code. Si l’analyse du code ne fonctionne pas comme prévu, page d’état de l’outil constitue un bon point de départ pour le débogage des problèmes. Pour plus d’informations, consultez « Utiliser la page d’état de l’outil pour l’analyse du code ».