IntĂ©gration Ă lâanalyse du code
Vous pouvez intĂ©grer des outils dâanalyse de code tiers avec GitHub code scanning en chargeant des donnĂ©es en tant que fichiers SARIF.
Qui peut utiliser cette fonctionnalité ?
Code scanning est disponible pour les types de référentiels suivants :
- Des référentiels publics sur GitHub.com
- RĂ©fĂ©rentiels appartenant Ă lâorganisation sur GitHub Team ou GitHub Enterprise Cloud avec GitHub Code Security activĂ©
Ă propos de lâintĂ©gration Ă lâanalyse du code
Vous pouvez effectuer une code scanning en externe, puis afficher les rĂ©sultats dans GitHub, ou configurer des webhooks qui Ă©coutent lâactivitĂ© dâcode scanning dans votre rĂ©fĂ©rentiel.
Utilisation de l'analyse du code avec votre systĂšme CI existant
Vous pouvez analyser votre code avec CodeQL CLI ou un autre outil dans un systĂšme dâintĂ©gration continue tiers et charger les rĂ©sultats dans GitHub. Les alertes code scanning obtenues sâaffichent en mĂȘme temps que toutes les alertes gĂ©nĂ©rĂ©es dans GitHub.
Chargement dâun fichier SARIF sur GitHub
Vous pouvez charger des fichiers SARIF gĂ©nĂ©rĂ©s en dehors de GitHub et voir les alertes code scanning Ă partir dâoutils tiers dans votre dĂ©pĂŽt.
Prise en charge de SARIF pour lâanalyse du code
Pour afficher les rĂ©sultats dâun outil dâanalyse statique tiers dans votre rĂ©fĂ©rentiel sur GitHub, vous devez stocker vos rĂ©sultats dans un fichier SARIF qui prend en charge un sous-ensemble spĂ©cifique du schĂ©ma JSON SARIF 2.1.0 pour code scanning. Si vous utilisez le moteur dâanalyse statique par dĂ©faut CodeQL, alors vos rĂ©sultats sâafficheront dans votre rĂ©fĂ©rentiel sur GitHub automatiquement.