Cette version de GitHub Enterprise Server ne sera plus disponible le 2026-04-09. Aucune publication de correctifs n’est effectuée, même pour les problèmes de sécurité critiques. Pour de meilleures performances, une sécurité améliorée et de nouvelles fonctionnalités, effectuez une mise à niveau vers la dernière version de GitHub Enterprise. Pour obtenir de l’aide sur la mise à niveau, contactez le support GitHub Enterprise.

Définition de la configuration par défaut pour l’analyse du code

Configurez rapidement code scanning pour détecter le code vulnérable.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de référentiels, propriétaire d’organisations, gestionnaires de sécurité et utilisateurs avec le rôle d’administrateur

Code scanning est disponible pour les types de référentiels suivants :

  • Des référentiels publics sur GitHub.com
  • Référentiels appartenant à l’organisation sur GitHub Team, GitHub Enterprise Cloud, ou GitHub Enterprise Server, avec GitHub Advanced Security activé.

Dans cet article

Nous vous recommandons de commencer à utiliser code scanning avec la configuration par défaut. Une fois que vous avez initialement configuré la configuration par défaut, vous pouvez évaluer code scanning son fonctionnement et le personnaliser pour mieux répondre à vos besoins. Pour plus d’informations, consultez « À propos des types d’installation pour l’analyse du code ».

Prerequisites

Votre référentiel peut être configuré par défaut pour code scanning si :

  • GitHub Actions est activé.
  • GitHub Advanced Security est activé.

Définition de la configuration par défaut pour un dépôt

Remarque

Si les analyses échouent pour toutes les CodeQLlangues prises en charge dans un référentiel, le programme d’installation par défaut est toujours activé, mais il n’exécute aucune analyse ni n’utilise GitHub Actions aucune minute tant qu’une autre CodeQLlangue prise en charge n’est pas ajoutée au référentiel ou à la configuration par défaut est reconfigurée manuellement, et l’analyse d’une CodeQLlangue prise en charge réussit.

  1. Sur GitHub, accédez à la page principale du référentiel.

    Remarque

    Si vous configurez la configuration par défaut sur un fork, vous devez d’abord activer GitHub Actions. Pour activer GitHub Actions, sous le nom de votre référentiel, cliquez sur Actions, puis sur Je comprends mes flux de travail, passez en avant et activez-les. N’oubliez pas que cette action active tous les workflows existants sur votre duplication.

  2. Sous le nom de votre référentiel, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Code security and analysis.

  4. Dans la section « Code scanning », sélectionnez Configurer , puis cliquez sur Défaut.

    Capture d’écran de la section « Code scanning » des paramètres de « Code security and analysis ». Le bouton « Configuration par défaut » est mis en évidence à l’aide d’un rectangle orange.

    Vous verrez ensuite une boîte de dialogue «CodeQL configuration par défaut » récapitulation de la code scanning configuration créée automatiquement par le programme d’installation par défaut.

  5. Si vous le souhaitez, pour personnaliser votre code scanning configuration, cliquez sur Modifier.

    • Pour ajouter ou supprimer un langage de l’analyse effectuée par la configuration par défaut, sélectionnez ou désélectionnez ce langage dans la section « Langages ».
    • Pour spécifier la CodeQL suite de requêtes que vous souhaitez utiliser, sélectionnez votre suite de requêtes préférée dans la section « Suites de requêtes ».

  6. Passez en revue les paramètres de configuration par défaut sur votre référentiel, puis cliquez sur Activer CodeQL. Cela va déclencher un workflow permettant de tester la nouvelle configuration générée automatiquement.

    Remarque

    Si vous passez à la configuration par défaut à partir de l’installation avancée, vous verrez un avertissement vous informant que le programme d’installation par défaut remplacera les configurations existantes code scanning . Cet avertissement signifie que le programme d’installation par défaut désactive le fichier de flux de travail existant et bloque les CodeQL chargements d’API d’analyse.

  7. Si vous le souhaitez, pour afficher votre configuration d’installation par défaut après l’activation, sélectionnez , puis cliquez sur Afficher CodeQL la configuration.

Remarque

Si aucune demande push et pull n’a eu lieu dans un référentiel avec la configuration par défaut activée pendant 6 mois, la planification hebdomadaire est désactivée pour enregistrer vos GitHub Actions minutes.

Affectation d’exécuteurs pour la configuration par défaut

Remarque

Code scanning voit les exécuteurs affectés lorsque la configuration par défaut est activée. Si un exécuteur est assigné à un référentiel qui utilise déjà la configuration par défaut, vous devez désactiver et réactiver la configuration par défaut pour commencer à utiliser l’exécuteur. Si vous ajoutez un exécuteur et souhaitez commencer à l’utiliser, vous pouvez modifier la configuration manuellement sans avoir à désactiver et réactiver la configuration par défaut.

Affectation de labels à des runners auto-hébergés

Pour affecter un exécuteur auto-hébergé pour la configuration par défaut, vous pouvez utiliser l’étiquette code-scanning . Pour plus d’informations sur l’attribution d’étiquettes à des exécuteurs auto-hébergés, consultez Utilisation d’étiquettes avec des exécuteurs auto-hébergés.

Une fois que vous avez affecté des étiquettes personnalisées à des exécutants auto-hébergés, vos dépôts peuvent utiliser ces exécutants pour la configuration par défaut code scanning.

Garantir la prise en charge de la compilation

Le programme d’installation par défaut utilise le none mode build pour Java et utilise le autobuild mode build pour d’autres langages compilés. Vous devez configurer vos exécuteurs auto-hébergés pour vous assurer qu’ils peuvent exécuter toutes les commandes nécessaires pour l’analyse C/C++, C# et Swift. L’analyse du code JavaScript/TypeScript, Go, Ruby, Python et Kotlin ne nécessite actuellement aucune configuration spéciale.

Étapes suivantes

Une fois que votre configuration s’exécute correctement au moins une fois, vous pouvez commencer à examiner et à résoudre code scanning les alertes. Pour plus d’informations sur les alertes code scanning, consultez À propos des alertes d’analyse du code et Évaluation des alertes d’analyse du code pour votre référentiel.

Une fois que vous avez configuré la configuration par défaut, code scanningvous pouvez en savoir plus sur l’évaluation de son fonctionnement et les étapes suivantes que vous pouvez effectuer pour la personnaliser. Pour plus d’informations, consultez « Évaluation de la configuration par défaut pour l’analyse du code ».

Vous trouverez des informations détaillées sur votre code scanning configuration, y compris les horodatages pour chaque analyse et le pourcentage de fichiers analysés, dans la page d’état de l’outil. Pour plus d’informations, consultez « Utiliser la page d’état de l’outil pour l’analyse du code ».

Quand vous définissez la configuration par défaut, vous pouvez rencontrer une erreur. Pour plus d’informations sur la résolution d’erreurs spécifiques, consultez Résolution des erreurs d’analyse du code.