Remarque
Votre administrateur de site doit activer l’code scanning avant de pouvoir utiliser cette fonctionnalité. Pour plus d’informations, consultez « Configuration de l’analyse de code pour votre appliance ».
Vous ne pourrez peut-être pas activer ou désactiver code scanning si un propriétaire d’entreprise a défini une stratégie GitHub Code Security au niveau de l’entreprise. Pour plus d’informations, consultez « Application de stratégies de sécurité et d’analyse du code pour votre entreprise ».
Code scanning es une fonctionnalité que vous utilisez pour analyser le code dans un dépôt GitHub afin de détecter d’éventuelles vulnérabilités de sécurité et erreurs de codage. Tous les problèmes identifiés par l’analyse sont énumérés dans votre référentiel.
You can use code scanning to find, triage, and prioritize fixes for existing problems in your code. Code scanning also prevents developers from introducing new problems. You can schedule scans for specific days and times, or trigger scans when a specific event occurs in the repository, such as a push.
If code scanning finds a potential vulnerability or error in your code, GitHub displays an alert in the repository. After you fix the code that triggered the alert, GitHub closes the alert. For more information, see Résoudre les alertes d'analyse de code.
To monitor results from code scanning across your repositories or your organization, you can use webhooks and the code scanning API. For information about the webhooks for code scanning, see Événements et charges utiles du webhook. For information about API endpoints, see Points de terminaison d’API REST pour l’analyse de codes.
To get started with code scanning, see Définition de la configuration par défaut pour l’analyse du code.
About tools for code scanning
You can configure code scanning to use the CodeQL product maintained by GitHub or a third-party code scanning tool.
About CodeQL analysis
CodeQL est le moteur d’analyse de code développé par GitHub pour automatiser les vérifications de sécurité. Vous pouvez analyser votre code à l’aide de CodeQL et afficher les résultats sous forme d’alertes d’code scanning. For more information about CodeQL, see About code scanning with CodeQL.
About third-party code scanning tools
L’Code scanning est interopérable avec des outils d’analyse de code tiers qui génèrent des données SARIF (Static Analysis Results Interchange Format). Le format SARIF est un standard ouvert. Pour plus d’informations, consultez « Prise en charge de SARIF pour l’analyse du code ».
You can run third-party analysis tools within GitHub using actions or within an external CI system. For more information, see Configuration de la configuration par défaut pour l’analyse du code or Chargement d’un fichier SARIF sur GitHub.
About the page d’état de l’outil
The page d’état de l’outil shows useful information about all of your code scanning tools. If code scanning is not working as you'd expect, the page d’état de l’outil is a good starting point for debugging problems. For more information, see À propos de la page d’état de l’outil pour l’analyse du code.