Suites de requêtes CodeQL

À propos des suites de requêtes CodeQL

Avec l’code scanning CodeQL, vous pouvez sélectionner un groupe spécifique de requêtes CodeQL, appelé suite de requêtes CodeQL, à exécuter sur votre code. Les suites de requêtes intégrées suivantes sont disponibles via GitHub :

• Suite de requêtes default.
• Suite de requêtes security-extended. Cette suite est appelée suite de requêtes « Étendue » sur GitHub.

Actuellement, les suites de requêtes default et security-extended sont disponibles pour la configuration par défaut de l’code scanning. En outre, les propriétaires d’organisation et les responsables de la sécurité peuvent recommander une suite de requêtes à utiliser avec la configuration par défaut dans leur organisation. Pour plus d’informations sur la définition de la configuration par défaut pour des référentiels individuels, consultez Définition de la configuration par défaut pour l’analyse du code. Pour plus d’informations sur la configuration par défaut à grande échelle et la recommandation d’une suite de requêtes, consultez Définition de la configuration par défaut pour l’analyse du code à grande échelle.

Pour utiliser une suite de requêtes personnalisée, vous devez définir une configuration avancée pour l’code scanning CodeQL. Pour plus d’informations sur les configurations avancées et la création d’une suite de requêtes, consultez Configuration de la configuration par défaut pour l’analyse du code et Création de suites de requêtes CodeQL.

Suites de requêtes CodeQL intégrées

Les suites de requêtes CodeQL intégrées default et security-extended, sont créées et gérées par GitHub. Ces deux suites de requêtes sont disponibles pour chaque langage pris en charge par CodeQL. Pour plus d’informations sur les langages pris en charge par CodeQL, consultez À propos de l’analyse du code avec CodeQL.

Suite de requêtes default

• La suite de requêtes default est le groupe de requêtes exécutées par défaut dans l’code scanning CodeQL sur GitHub.
• Les requêtes de la suite de requêtes default sont très précises et retournent quelques résultats d’code scanning faux positifs. Par rapport à la suite de requêtes security-extended, la suite default retourne moins de résultats d’code scanning peu fiables.
• Cette suite de requêtes peut être utilisée avec la configuration par défaut de l’code scanning.

Suite de requêtes security-extended

• La suite de requêtes security-extended se compose de toutes les requêtes de la suite de requêtes default, plus des requêtes supplémentaires avec une précision et une gravité légèrement inférieures.
• Par rapport à la suite de requêtes default, la suite security-extended peut retourner un plus grand nombre de résultats d’code scanning faux positifs.
• Cette suite de requêtes est disponible pour être utilisée avec la configuration par défaut pour l’code scanning, et est appelée suite de requêtes « Étendue » sur GitHub.

Listes de requêtes pour les suites de requêtes par défaut

Pour chaque langage, l’article suivant répertorie les requêtes incluses dans les suites default et security-extended.

• Requêtes C et C++ pour l’analyse CodeQL
• Requêtes C# pour l’analyse CodeQL
• Requêtes GitHub Actions pour l’analyse CodeQL
• Requêtes Go pour l’analyse CodeQL
• Requêtes Java et Kotlin pour l’analyse CodeQL
• Requêtes JavaScript et TypeScript pour l’analyse CodeQL
• Requêtes Python pour l’analyse CodeQL
• Requêtes Ruby pour l’analyse CodeQL
• Requêtes Swift pour l’analyse CodeQL

Pour aller plus loin

• Création de suites de requêtes CodeQL