Code scanning es une fonctionnalitĂ© que vous utilisez pour analyser le code dans un dĂ©pĂŽt GitHub afin de dĂ©tecter dâĂ©ventuelles vulnĂ©rabilitĂ©s de sĂ©curitĂ© et erreurs de codage. Tous les problĂšmes identifiĂ©s par lâanalyse sont Ă©numĂ©rĂ©s dans votre rĂ©fĂ©rentiel.
Vous pouvez utiliser lâcode scanning pour rechercher, trier et hiĂ©rarchiser les correctifs pour les problĂšmes existants dans votre code. LâCode scanning empĂȘche Ă©galement les dĂ©veloppeurs dâintroduire de nouveaux problĂšmes. Vous pouvez planifier des analyses pour des jours et des heures spĂ©cifiques, ou dĂ©clencher des analyses quand un Ă©vĂ©nement spĂ©cifique se produit dans le dĂ©pĂŽt, comme une poussĂ©e (push).
Si lâcode scanning trouve une vulnĂ©rabilitĂ© ou une erreur potentielle dans votre code, GitHub affiche une alerte dans le dĂ©pĂŽt. Une fois que vous avez corrigĂ© le code qui a dĂ©clenchĂ© lâalerte, GitHub ferme celle-ci. Pour plus dâinformations, consultez « RĂ©solution des alertes dâanalyse du code ».
Correctif automatique GitHub Copilot proposera des corrections pour les alertes gĂ©nĂ©rĂ©es par l'analyse code scanning dans les rĂ©fĂ©rentiels privĂ©s, permettant ainsi aux dĂ©veloppeurs de prĂ©venir et de rĂ©duire les vulnĂ©rabilitĂ©s avec moins d'efforts. Pour plus dâinformations, consultez « Utilisation responsable de Copilot Autofix pour lâanalyse du code ».
Pour superviser les rĂ©sultats de lâcode scanning sur vos dĂ©pĂŽts ou votre organisation, vous pouvez utiliser des webhooks et lâAPI dâcode scanning. Pour plus dâinformations sur les webhooks pour code scanning, consultez ĂvĂ©nements et charges utiles du webhook. Pour plus dâinformations sur les points de terminaison dâAPI, consultez Points de terminaison dâAPI REST pour lâanalyse de codes.
Pour bien commencer avec code scanning, consultez DĂ©finition de la configuration par dĂ©faut pour lâanalyse du code.
Ă propos de la facturation pour lâcode scanning
LâCode scanning utilise GitHub Actions, et chaque exĂ©cution dâun workflow dâcode scanning consomme des minutes pour GitHub Actions. Pour plus dâinformations, consultez « Facturation GitHub Actions ».
Pour utiliser code scanning sur un rĂ©fĂ©rentiel privĂ©, vous devez Ă©galement avoir une licence pour GitHub Code Security. Pour plus dâinformations sur la façon dont vous pouvez essayer GitHub Enterprise gratuitement avec GitHub Advanced Security, consultez Configuration dâun essai de GitHub Enterprise Cloud et Setting up a trial of GitHub Advanced Security dans la documentation GitHub Enterprise Cloud.
Ă propos des outils pour lâcode scanning
Vous pouvez configurer lâcode scanning pour utiliser le produit CodeQL gĂ©rĂ© par GitHub ou un outil dâcode scanning tiers.
Ă propos de lâanalyse CodeQL
CodeQL est le moteur dâanalyse de code dĂ©veloppĂ© par GitHub pour automatiser les vĂ©rifications de sĂ©curitĂ©. Vous pouvez analyser votre code Ă lâaide de CodeQL et afficher les rĂ©sultats sous forme dâalertes dâcode scanning. Pour plus dâinformations sur CodeQL, consultez Ă propos de lâanalyse du code avec CodeQL.
Ă propos des outils dâcode scanning tiers
LâCode scanning est interopĂ©rable avec des outils dâanalyse de code tiers qui gĂ©nĂšrent des donnĂ©es SARIF (Static Analysis Results Interchange Format). Le format SARIF est un standard ouvert. Pour plus dâinformations, consultez « Prise en charge de SARIF pour lâanalyse du code ».
Vous pouvez exĂ©cuter des outils dâanalyse tiers dans GitHub en utilisant des actions ou dans un systĂšme CI externe. Pour plus dâinformations, consultez Configuration de la configuration par dĂ©faut pour lâanalyse du code ou Chargement dâun fichier SARIF sur GitHub.
Ă propos de la page dâĂ©tat de lâoutil
La page dâĂ©tat de lâoutil affiche des informations utiles sur tous vos outils dâanalyse du code. Si lâanalyse du code ne fonctionne pas comme prĂ©vu, la page dâĂ©tat de lâoutil est un bon point de dĂ©part pour le dĂ©bogage des problĂšmes. Pour plus dâinformations, consultez « Ă propos de la page dâĂ©tat de lâoutil pour lâanalyse du code ».