Intégration à l’analyse du code

Vous pouvez intégrer des outils d’analyse de code tiers avec GitHub code scanning en chargeant des données en tant que fichiers SARIF.

Qui peut utiliser cette fonctionnalité ?

Code scanning est disponible pour les types de référentiels suivants :

Référentiels appartenant à l’organisation avec GitHub Advanced Security activé

À propos de l’intégration à l’analyse du code

Vous pouvez effectuer une code scanning en externe, puis afficher les résultats dans GitHub, ou configurer des webhooks qui écoutent l’activité d’code scanning dans votre référentiel.

Utilisation de l'analyse du code avec votre système CI existant

Vous pouvez analyser votre code avec CodeQL CLI ou un autre outil dans un système d’intégration continue tiers et charger les résultats dans GitHub. Les alertes code scanning obtenues s’affichent en même temps que toutes les alertes générées dans GitHub.

Chargement d’un fichier SARIF sur GitHub

You can integrate third-party code analysis tools with GitHub code scanning by uploading data as SARIF files.

Prise en charge de SARIF pour l’analyse du code

Pour afficher les résultats d’un outil d’analyse statique tiers dans votre référentiel sur GitHub, vous devez stocker vos résultats dans un fichier SARIF qui prend en charge un sous-ensemble spécifique du schéma JSON SARIF 2.1.0 pour code scanning. Si vous utilisez le moteur d’analyse statique par défaut CodeQL, alors vos résultats s’afficheront dans votre référentiel sur GitHub automatiquement.