Évaluation des alertes d’analyse du code pour votre référentiel

À partir de la vue de sécurité, vous pouvez explorer et évaluer les alertes de vulnérabilités ou d'erreurs potentielles dans le code de votre projet.

Qui peut utiliser cette fonctionnalité ?

Utilisateurs avec accès en écriture

Dans cet article

Toute personne disposant d’une autorisation de lecture pour un référentiel peut voir les annotations d’code scanning sur les requêtes de tirage. Pour plus d’informations, consultez « Triage des alertes d’analyse du code dans les demandes de tirage (pull request) ».

Affichage des alertes pour un dépôt

Vous avez besoin d’une autorisation d’écriture pour voir un récapitulatif de toutes les alertes d’un dépôt sous l’onglet Sécurité.

Par défaut, la page d'alertes code scanning est filtrée pour afficher les alertes pour la branche par défaut du référentiel uniquement.

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom du référentiel, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Sécurité » est mis en évidence avec un encadré orange foncé.

  3. Dans la barre latérale gauche, cliquez sur Code scanning.

  4. Si vous le souhaitez, utilisez la zone de recherche en texte libre ou les menus déroulants pour filtrer les alertes. Par exemple, vous pouvez filtrer en fonction de l’outil utilisé pour identifier les alertes.

    Capture d'écran de la page d'alerte code scanning. La zone de recherche et les menus déroulants des filtres sont soulignés en orange foncé.

  5. Si l’alerte met en évidence un problème avec le flux de données, vous pouvez cliquer sur Afficher les chemins pour afficher le chemin depuis la source de données vers le récepteur où il est utilisé.

    Capture d’écran d’une alerte d’code scanning. Les liens « Afficher les chemins » et « Afficher plus » sont décrits en orange foncé.

  6. Les alertes de l’analyse CodeQL incluent une description du problème. Cliquez sur Afficher plus pour obtenir des conseils sur la façon de corriger votre code.

  7. Vous pouvez également attribuer l'alerte à une personne chargée de la résoudre à l'aide du contrôle Assignees affiché à droite, voir Attribution d'alertes.

Pour plus d’informations, consultez « À propos des alertes d’analyse du code ».

Remarque

Vous pouvez voir des informations sur le moment où l’analyse de l’code scanning a été exécutée pour la dernière fois sur la page d’état de l’outil. Pour plus d’informations, consultez « Utiliser la page d’état de l’outil pour l’analyse du code ».

Affichage des indicateurs des alertes de pull requests pour CodeQL dans une organisation

Pour les alertes code scanning de l'analyse CodeQL, vous pouvez utiliser l'aperçu de la sécurité pour voir les performances de CodeQL dans les pull requests des référentiels où vous avez un accès en écriture au sein de votre organisation, et pour identifier les référentiels où vous pourriez avoir besoin de prendre des mesures. Pour plus d’informations, consultez « Métriques d’alerte de demande de tirage CodeQL ».

Filtrer les alertes d’code scanning

Vous pouvez filtrer les alertes affichées dans la vue des alertes d’code scanning. Cela est utile s’il existe de nombreuses alertes, car vous pouvez vous concentrer sur un type particulier d’alerte. Vous disposez de filtres prédéfinis et d’un éventail de mots clés pour affiner la liste des alertes affichées.

Lorsque vous sélectionnez un mot clé dans une liste déroulante ou lorsque vous entrez une mot clé dans le champ de recherche, seules les valeurs avec des résultats s’affichent. Vous évitez ainsi plus facilement de définir des filtres qui ne trouvent aucun résultat.

Capture d’écran du champ de recherche en mode Alertes. Le champ a « branch:dependabot » et toutes les branches valides avec un nom correspondant sont affichées.

Si vous entrez plusieurs filtres, l’affichage montre les alertes correspondant à tous ces filtres. Par exemple, is:closed severity:high branch:main affiche uniquement les alertes de gravité élevée fermées qui sont présentes sur la branche main. L’exception concerne les filtres relatifs aux références (ref, branch et pr) : is:open branch:main branch:next vous montre les alertes ouvertes à la fois sur la branche main et sur la branche next.

Vous pouvez préfixer le filtre tag avec - pour exclure les résultats ayant cette étiquette. Par exemple, -tag:style affiche uniquement les alertes qui n’ont pas la balise style.

Restriction des résultats au code d’application uniquement

Vous pouvez utiliser le filtre « Uniquement les alertes dans le code d’application » ou la paire mot clé/valeur autofilter:true pour restreindre les résultats aux alertes dans le code d’application. Pour plus d’informations sur les types de code qui sont automatiquement étiquetés comme n’étant pas du code d’application, consultez À propos des alertes d’analyse du code.

Recherche des alertes d’code scanning

Vous pouvez explorer la liste des alertes. Cela est utile s’il existe un grand nombre d’alertes dans votre dépôt ou si vous ne connaissez pas le nom exact d’une alerte, par exemple. GitHub effectue la recherche en texte libre dans les éléments suivants :

  • Nom de l'alerte
  • Détails de l’alerte (comprenant aussi les informations masquées par défaut dans la section repliable Afficher plus)
Recherche prise en chargeExemple de syntaxeResults
Recherche avec un seul motinjectionRetourne toutes les alertes contenant le mot injection
Recherche avec plusieurs motssql injectionRetourne toutes les alertes contenant sql ou injection
Recherche de correspondance exacte
(utilisez des guillemets doubles)		"sql injection"Retourne toutes les alertes contenant l’expression exacte sql injection
Recherche OUsql OR injectionRetourne toutes les alertes contenant sql ou injection
Recherche ETsql AND injectionRetourne toutes les alertes contenant à la fois les mots sql et injection

Conseil

  • La recherche de plusieurs mots équivaut à une recherche OU.
  • La recherche ET retourne des résultats dans lesquels les termes de recherche se trouvent n’importe où, dans n’importe quel ordre dans le nom ou les détails de l’alerte.

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom du référentiel, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Sécurité » est mis en évidence avec un encadré orange foncé.

  3. Dans la barre latérale gauche, cliquez sur Code scanning.

  4. À droite des menus déroulants Filtres, tapez les mots clés à rechercher dans la zone de recherche en texte libre.

           ![Capture d’écran du champ de recherche en mode Alertes. Le champ a des filtres prédéfinis « is : open branch:main » et du texte libre de « sql ou injection » mis en surbrillance.](/assets/images/help/repository/code-scanning-search-alerts.png)

  5. Appuyez sur Retour. La liste des alertes contiendra les alertes ouvertes d’code scanning correspondant à vos critères de recherche.

Vérification des réponses aux alertes d’code scanning

Lectures complémentaires

  •         [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/resolving-code-scanning-alerts)

  •         [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/triaging-code-scanning-alerts-in-pull-requests)

  •         [AUTOTITLE](/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning)

  •         [AUTOTITLE](/code-security/code-scanning/integrating-with-code-scanning/about-integration-with-code-scanning)