Remarque : Votre administrateur de site doit activer l’code scanning pour votre instance GitHub Enterprise Server afin que vous puissiez utiliser cette fonctionnalité. Si vous souhaitez utiliser GitHub Actions pour analyser votre code, l’administrateur de site doit également activer GitHub Actions et configurer l’infrastructure nécessaire. Pour plus d’informations, consultez « Configuration de l’analyse de code pour votre appliance ».
À propos de votre configuration de l’code scanning
Vous pouvez utiliser divers outils pour configurer l’code scanning dans votre dépôt. Pour plus d’informations, consultez « Définition de la configuration par défaut pour l’analyse du code » et « Configuration de la configuration par défaut pour l’analyse du code ».
Les informations de journal et de diagnostic disponibles dépendent de la méthode que vous utilisez pour code scanning dans votre référentiel. Vous pouvez vérifier le type d’code scanning que vous utilisez sous l’onglet Sécurité de votre dépôt, en utilisant le menu déroulant Outil dans la liste des alertes. Pour plus d’informations, consultez « Gestion des alertes d’analyse du code pour votre référentiel ».
À propos des informations d’analyse et de diagnostic
Vous pouvez voir les informations d’analyse et de diagnostic pour l’code scanning exécutée avec l’analyse CodeQL sur GitHub.
Les informations d’analyse sont affichées pour l’analyse la plus récente dans un en-tête en haut de la liste des alertes. Pour plus d’informations, consultez « Gestion des alertes d’analyse du code pour votre référentiel ».
Les informations de diagnostic sont affichées dans les journaux de workflow Action et se composent de métriques récapitulatives et de diagnostics d’extraction. Pour plus d’informations sur l’accès aux journaux d’code scanning sur GitHub, consultez « Affichage de la sortie de journalisation de l’code scanning » ci-dessous.
Si vous utilisez l’CodeQL CLI en dehors de GitHub, les informations de diagnostic s’affichent dans la sortie générée lors de l’analyse de la base de données. Ces informations sont également incluses dans le fichier de résultats SARIF que vous chargez sur GitHub avec les résultats de l’code scanning.
Pour plus d’informations sur l’CodeQL CLI, consultez « Analyse de votre code avec des requêtes CodeQL ».
À propos des métriques récapitulatives
Les métriques récapitulatives sont les suivantes :
- Lignes de code dans le codebase (utilisée comme base de référence), avant la création et l’extraction de la base de données CodeQL
- Lignes de code dans la base de données CodeQL extraite du code, bibliothèques externes et fichiers générés automatiquement compris
- Lignes de code dans la base de données CodeQL, fichiers générés automatiquement et bibliothèques externes non compris
À propos des diagnostics d’extraction de code source CodeQL
Les diagnostics de l’extracteur couvrent uniquement les fichiers vus durant l’analyse. Les métriques incluent notamment les éléments suivants :
- Nombre de fichiers analysés correctement
- Nombre de fichiers ayant généré des erreurs d’extraction durant la création de la base de données
- Nombre de fichiers ayant généré des avertissements d’extraction durant la création de la base de données
Vous pouvez voir des informations plus détaillées sur les erreurs et avertissements de l’extracteur CodeQL qui apparaissent lors de la création de la base de données en activant la journalisation du débogage. Pour plus d’informations, consultez « Journaux insuffisamment détaillés ».
Affichage de la sortie de journalisation de l’code scanning
Cette section s’applique l’code scanning exécutée avec GitHub Actions (CodeQL ou tiers).
Après avoir configuré l’code scanning pour votre référentiel, vous pouvez regarder la sortie des actions à mesure qu’elles s’exécutent.
-
Sous le nom de votre dépôt, cliquez sur Actions.
La liste qui apparaît inclut une entrée pour l’exécution du workflow d’code scanning. Le texte de l’entrée est le titre que vous avez donné à votre message de commit.
-
Cliquez sur l’entrée du workflow d’code scanning.
Remarque : Si vous recherchez l’exécution de workflow CodeQL déclenchée par l’activation de la configuration par défaut, le texte de l’entrée est « CodeQL ».
-
Cliquez sur le nom du travail sur la gauche. Par exemple, Analyser (LANGAGE) .
-
Passez en revue la sortie de la journalisation des actions de ce workflow à mesure qu’elles s’exécutent.
-
Le cas échéant, pour plus d’informations sur le commit qui a déclenché l’exécution du workflow, cliquez sur le code de hachage de commit court. Le code de hachage de commit court comporte sept caractères minuscules placés immédiatement après le nom d’utilisateur de l’auteur du commit.
-
Une fois tous les travaux terminés, vous pouvez afficher les détails de toutes les alertes de l’code scanning qui ont été identifiées. Pour plus d’informations, consultez « Gestion des alertes d’analyse du code pour votre référentiel ».