À propos de l’analyse du code CodeQL pour les langages compilés

Découvrez comment CodeQL analyse les langages compilés, les options de build disponibles et comment vous pouvez personnaliser le processus de génération de base de données si nécessaire.

Qui peut utiliser cette fonctionnalité ?

Utilisateurs avec accès en écriture if advanced setup is already enabled

Code scanning est disponible pour les types de référentiels suivants :

  • Des référentiels publics sur GitHub.com
  • Référentiels appartenant à l’organisation sur GitHub Team, GitHub Enterprise Cloud, ou GitHub Enterprise Server, avec GitHub Code Security activé.

Dans cet article

À propos du Workflow d’analyse CodeQL et des langages compilés

Code scanning fonctionne en exécutant des requêtes sur une ou plusieurs bases de données CodeQL. Chaque base de données contient une représentation du code dans un seul langage au sein de votre dépôt. Pour les langages compilés C/C++, C#, Go, Java, Kotlin, Rust (préversion publique), et Swift, le processus de remplissage de cette base de données implique souvent de compiler le code et d’extraire des données.

Lorsque vous activez code scanning, la configuration par défaut et la configuration avancée génèrent une base de données CodeQL à analyser en utilisant la méthode la plus simple disponible. Pour C# et Java, la base de données CodeQL est générée directement à partir de la base de code sans nécessiter de build (mode de build none). Pour les autres langages compilés, CodeQL compile la base de code à l’aide du mode de build autobuild. Vous pouvez également utiliser le mode de build manual pour spécifier des commandes de build explicites afin d’analyser uniquement les fichiers compilés par ces commandes personnalisées.

Vous pouvez utiliser la mise en cache des dépendances avec CodeQL pour stocker les dépendances comme un cache GitHub Actions au lieu de les télécharger depuis les registres. Voir à propos de la mise en cache des dépendances pour CodeQL plus loin dans cet article.

Modes de build de CodeQL

L’action CodeQL prend en charge trois modes de build différents pour les langages compilés :

  •         `none` : la base de données CodeQL est créée directement à partir de la base de code sans compiler celle-ci (pris en charge pour tous les langages interprétés, et également pour C# et  Java).

  •         `autobuild` - CodeQL détecte la méthode de construction la plus probable et l’utilise pour tenter de construire la base de code et de créer une base de données pour l’analyse (est pris en charge pour C/C++, C#, Go, Java, Kotlin et Swift).

  •         `manual` - vous définissez les étapes de génération à utiliser pour le codebase dans le flux de travail (pris en charge pour C/C++, C#, Go, Java, Kotlin et Swift).

Pour connaître le comportement spécifique au autobuild langage, les exigences de l’exécuteur et les instructions pour les builds manuelles, consultez Options et étapes de génération CodeQL pour les langages compilés.

À propos de la mise en cache des dépendances pour CodeQL

Vous pouvez utiliser la mise en cache des dépendances avec CodeQL pour stocker les dépendances comme un cache GitHub Actions au lieu de les télécharger depuis les registres. Cela réduit le risque de perdre des alertes lorsque les registres tiers fonctionnent mal, et peut améliorer les performances des projets ayant un grand nombre de dépendances ou utilisant des registres lents. Pour en savoir plus sur la façon dont la mise en cache des dépendances peut accélérer les workflows, consultez Référence sur la mise en cache des dépendances.

La mise en cache des dépendances fonctionne avec tous les modes de build et est prise en charge par Java, Go, et C#.

Remarque

L’utilisation de la mise en cache des dépendances stocke des caches spécifiques à CodeQL, qui seront soumis aux quotas de cache du dépôt. Consultez « Référence sur la mise en cache des dépendances ».