{"id":5567,"date":"2025-07-24T15:13:19","date_gmt":"2025-07-24T15:13:19","guid":{"rendered":"https:\/\/techhub.saworks.io\/docs\/tutoriel-github\/securite-avancee-sur-github-partie-2-sur-2\/comprendre-les-resultats-de-codeql\/"},"modified":"2025-07-24T15:34:49","modified_gmt":"2025-07-24T15:34:49","slug":"comprendre-les-resultats-de-codeql","status":"publish","type":"docs","link":"https:\/\/techhub.saworks.io\/fr\/docs\/tutoriel-github\/securite-avancee-sur-github-partie-2-sur-2\/comprendre-les-resultats-de-codeql\/","title":{"rendered":"Comprendre les r\u00e9sultats de CodeQL"},"content":{"rendered":"\n
\n

Dans les unit\u00e9s pr\u00e9c\u00e9dentes, vous avez cr\u00e9\u00e9 une base de donn\u00e9es et analys\u00e9 les fichiers extraits de votre code. Vous pouvez maintenant consulter les r\u00e9sultats et d\u00e9terminer s\u2019il existe des vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 \u00e0 corriger.<\/p>\n\n\n\n

<\/div>\n\n\n\n

Afficher les r\u00e9sultats de l\u2019analyse CodeQL<\/h3>\n\n\n\n

Les r\u00e9sultats des requ\u00eates interpr\u00e9t\u00e9es sont automatiquement affich\u00e9s dans le code source via l\u2019extension CodeQL pour Visual Studio Code<\/strong>.
Les r\u00e9sultats g\u00e9n\u00e9r\u00e9s par le CLI CodeQL<\/strong> peuvent \u00eatre produits dans plusieurs formats, compatibles avec divers outils.<\/p>\n\n\n\n

Vous pouvez contr\u00f4ler la mani\u00e8re dont les r\u00e9sultats sont affich\u00e9s dans le code source en modifiant l\u2019instruction select<\/code><\/strong> d\u2019une requ\u00eate. Cela permet de rendre les r\u00e9sultats plus clairs et compr\u00e9hensibles pour les autres utilisateurs pendant le d\u00e9veloppement de la requ\u00eate.<\/p>\n\n\n\n

Lorsque vous \u00e9crivez vos propres requ\u00eates dans la console de requ\u00eates ou dans l\u2019extension CodeQL pour VS Code, il n\u2019y a aucune contrainte sur ce que vous pouvez s\u00e9lectionner.<\/p>\n\n\n\n

Cependant, si vous souhaitez utiliser une requ\u00eate pour g\u00e9n\u00e9rer des alertes dans l\u2019analyse de code GitHub<\/strong> ou produire des r\u00e9sultats valides via le CLI CodeQL, vous devez formater l\u2019instruction select<\/code><\/strong> selon les exigences attendues.<\/p>\n\n\n\n

<\/div>\n\n\n\n

Agir sur les alertes d\u2019analyse de code<\/h3>\n\n\n\n

Vous pouvez configurer l\u2019analyse de code pour v\u00e9rifier le code d\u2019un d\u00e9p\u00f4t. Vous pouvez utiliser :<\/p>\n\n\n\n

    \n
  • l\u2019analyse CodeQL par d\u00e9faut,<\/li>\n\n\n\n
  • une analyse non-Microsoft,<\/li>\n\n\n\n
  • ou d\u2019autres types d\u2019analyse.<\/li>\n<\/ul>\n\n\n\n

    Les alertes g\u00e9n\u00e9r\u00e9es sont affich\u00e9es c\u00f4te \u00e0 c\u00f4te dans le d\u00e9p\u00f4t.<\/p>\n\n\n\n

    L\u2019analyse CodeQL par d\u00e9faut de GitHub peut inclure plus de propri\u00e9t\u00e9s dans les alertes que les outils non-Microsoft ou les requ\u00eates personnalis\u00e9es.
    Dans un workflow par d\u00e9faut, l\u2019analyse de code s\u2019ex\u00e9cute p\u00e9riodiquement sur la branche principale et lors des pull requests<\/strong>.<\/p>\n\n\n\n

    Chaque alerte comprend les informations suivantes :<\/p>\n\n\n\n

      \n
    • Le\u00a0probl\u00e8me d\u00e9tect\u00e9<\/strong>\u00a0dans le code et le\u00a0nom de l\u2019outil<\/strong>\u00a0qui l\u2019a identifi\u00e9.<\/li>\n\n\n\n
    • La\u00a0ligne de code<\/strong>\u00a0ayant d\u00e9clench\u00e9 l\u2019alerte.<\/li>\n\n\n\n
    • Les\u00a0propri\u00e9t\u00e9s de l\u2019alerte<\/strong>, comme la gravit\u00e9.<\/li>\n\n\n\n
    • La\u00a0s\u00e9v\u00e9rit\u00e9 en mati\u00e8re de s\u00e9curit\u00e9<\/strong>.<\/li>\n\n\n\n
    • Le\u00a0moment o\u00f9 le probl\u00e8me a \u00e9t\u00e9 introduit<\/strong>.<\/li>\n\n\n\n
    • La\u00a0nature du probl\u00e8me<\/strong>.<\/li>\n<\/ul>\n\n\n\n

      Lorsque CodeQL identifie une alerte, il fournit \u00e9galement des informations sur la mani\u00e8re de corriger le probl\u00e8me<\/strong>.
      De plus, l\u2019analyse CodeQL peut d\u00e9tecter des probl\u00e8mes de flux de donn\u00e9es<\/strong> dans votre code.<\/p>\n\n\n\n

      \"\"<\/figure>\n\n\n\n
      <\/div>\n\n\n\n

      Alertes de flux de donn\u00e9es (Data-flow alerts)<\/h3>\n\n\n\n

      L\u2019analyse de flux de donn\u00e9es<\/strong> permet de d\u00e9tecter des probl\u00e8mes de s\u00e9curit\u00e9 potentiels dans le code, notamment :<\/p>\n\n\n\n

        \n
      • L\u2019utilisation de donn\u00e9es d\u2019une mani\u00e8re qui compromet la s\u00e9curit\u00e9.<\/li>\n\n\n\n
      • Le passage d\u2019arguments dangereux \u00e0 des fonctions.<\/li>\n\n\n\n
      • La fuite d\u2019informations sensibles.<\/li>\n<\/ul>\n\n\n\n

        GitHub vous montre comment les donn\u00e9es circulent dans le code lorsque l\u2019analyse de code signale des alertes de flux de donn\u00e9es. Ces alertes vous aident \u00e0 identifier les zones de votre code qui peuvent fuiter des informations sensibles<\/strong>, ce qui peut vous permettre de rep\u00e9rer les points d\u2019entr\u00e9e potentiels pour des attaques<\/strong> malveillantes.<\/p>\n\n\n\n

        <\/div>\n\n\n\n

        Niveaux de gravit\u00e9<\/h3>\n\n\n\n

        Tout r\u00e9sultat d\u2019analyse de code ayant une gravit\u00e9 de Erreur (Error)<\/strong> entra\u00eene par d\u00e9faut l\u2019\u00e9chec du contr\u00f4le (check failure).
        Les niveaux de gravit\u00e9 des alertes sont :<\/p>\n\n\n\n

          \n
        • Error<\/strong>\u00a0(Erreur)<\/li>\n\n\n\n
        • Warning<\/strong>\u00a0(Avertissement)<\/li>\n\n\n\n
        • Note<\/strong>\u00a0(Remarque)<\/li>\n<\/ul>\n\n\n\n

          Vous pouvez d\u00e9finir \u00e0 partir de quel niveau de gravit\u00e9 une pull request<\/strong> doit \u00e9chouer si elle d\u00e9clenche une alerte d\u2019analyse de code.<\/p>\n\n\n\n

          <\/div>\n\n\n\n

          Niveaux de gravit\u00e9 en mati\u00e8re de s\u00e9curit\u00e9<\/h3>\n\n\n\n

          Les requ\u00eates de s\u00e9curit\u00e9 g\u00e9n\u00e9r\u00e9es par l\u2019analyse de code affichent des niveaux de gravit\u00e9 de s\u00e9curit\u00e9<\/strong> :<\/p>\n\n\n\n

            \n
          • Critique (Critical)<\/strong><\/li>\n\n\n\n
          • \u00c9lev\u00e9e (High)<\/strong><\/li>\n\n\n\n
          • Moyenne (Medium)<\/strong><\/li>\n\n\n\n
          • Faible (Low)<\/strong><\/li>\n<\/ul>\n\n\n\n

            GitHub utilise les donn\u00e9es du CVSS (Common Vulnerability Scoring System)<\/strong> pour calculer la gravit\u00e9 de s\u00e9curit\u00e9 d\u2019une alerte.<\/p>\n\n\n\n

            Par d\u00e9faut, toute alerte ayant une gravit\u00e9 Critique<\/strong> ou \u00c9lev\u00e9e<\/strong> entra\u00eene l\u2019\u00e9chec du contr\u00f4le.
            Vous pouvez personnaliser le niveau de gravit\u00e9 de s\u00e9curit\u00e9 \u00e0 partir duquel une alerte doit provoquer un \u00e9chec.<\/p>\n\n\n\n

            <\/div>\n\n\n\n

            Fermer une alerte d\u2019analyse de code<\/h3>\n\n\n\n

            Vous avez deux fa\u00e7ons de fermer une alerte :<\/p>\n\n\n\n

              \n
            1. Corriger le probl\u00e8me<\/strong>\u00a0dans le code.<\/li>\n\n\n\n
            2. Ignorer ou supprimer<\/strong>\u00a0l\u2019alerte.<\/li>\n<\/ol>\n\n\n\n
              <\/div>\n\n\n\n

              Ignorer une alerte d\u2019analyse de code<\/h3>\n\n\n\n

              Ignorer une alerte signifie que vous choisissez de ne pas la corriger<\/strong>.
              Par exemple, vous pouvez ignorer une alerte li\u00e9e \u00e0 du code utilis\u00e9 uniquement pour les tests, ou si l\u2019effort n\u00e9cessaire pour corriger le probl\u00e8me d\u00e9passe les b\u00e9n\u00e9fices attendus.<\/p>\n\n\n\n

              Vous pouvez ignorer une alerte depuis les annotations dans le code<\/strong> ou depuis la liste r\u00e9capitulative<\/strong> dans l\u2019onglet S\u00e9curit\u00e9<\/strong> du d\u00e9p\u00f4t.<\/p>\n\n\n\n

              Pour ignorer une alerte depuis la liste :<\/p>\n\n\n\n

                \n
              • Cliquez sur le menu\u00a0Ignorer l\u2019alerte (Dismiss alert)<\/strong>.<\/li>\n\n\n\n
              • S\u00e9lectionnez une\u00a0raison<\/strong>\u00a0pour l\u2019ignorer.<\/li>\n\n\n\n
              • Cliquez sur le bouton\u00a0Ignorer l\u2019alerte<\/strong>.<\/li>\n<\/ul>\n\n\n\n
                \"\"<\/figure>\n\n\n\n
                <\/div>\n\n\n\n

                Lorsque vous ignorez une alerte :<\/h3>\n\n\n\n
                  \n
                • L\u2019alerte est ignor\u00e9e\u00a0dans toutes les branches<\/strong>.<\/li>\n\n\n\n
                • Elle est\u00a0retir\u00e9e du nombre d\u2019alertes actives<\/strong>\u00a0pour votre projet.<\/li>\n\n\n\n
                • Elle est d\u00e9plac\u00e9e dans la\u00a0liste des alertes ferm\u00e9es<\/strong>\u00a0dans le r\u00e9sum\u00e9. Vous pouvez la\u00a0rouvrir<\/strong>\u00a0\u00e0 partir de l\u00e0 si n\u00e9cessaire.<\/li>\n\n\n\n
                • La\u00a0raison de la fermeture<\/strong>\u00a0est enregistr\u00e9e.<\/li>\n\n\n\n
                • Lors du prochain scan,\u00a0le m\u00eame code ne g\u00e9n\u00e9rera pas \u00e0 nouveau l\u2019alerte<\/strong>.<\/li>\n<\/ul>\n\n\n\n
                  <\/div>\n\n\n\n

                  Supprimer une alerte d\u2019analyse de code<\/h3>\n\n\n\n

                  Vous pouvez supprimer une alerte<\/strong> si vous avez les droits administrateur<\/strong> sur le d\u00e9p\u00f4t. La suppression est utile dans les cas suivants :<\/p>\n\n\n\n

                    \n
                  • Vous avez mis en place un outil d\u2019analyse de code, mais vous d\u00e9cidez ensuite de le retirer.<\/li>\n\n\n\n
                  • Vous avez configur\u00e9 l\u2019analyse CodeQL avec un ensemble de requ\u00eates plus large que ce que vous souhaitez conserver.<\/li>\n\n\n\n
                  • Vous avez supprim\u00e9 certaines requ\u00eates de l\u2019outil.<\/li>\n\n\n\n
                  • Vous souhaitez\u00a0nettoyer les r\u00e9sultats<\/strong>\u00a0de l\u2019analyse de code.<\/li>\n<\/ul>\n\n\n\n

                    Vous pouvez supprimer des alertes depuis la liste r\u00e9capitulative<\/strong> dans l\u2019onglet S\u00e9curit\u00e9<\/strong>.<\/p>\n\n\n\n

                    <\/div>\n\n\n\n

                    Lorsque vous supprimez une alerte :<\/h3>\n\n\n\n
                      \n
                    • L\u2019alerte est supprim\u00e9e\u00a0dans toutes les branches<\/strong>.<\/li>\n\n\n\n
                    • Elle est\u00a0retir\u00e9e du nombre d\u2019alertes actives<\/strong>\u00a0pour votre projet.<\/li>\n\n\n\n
                    • Elle\u00a0n\u2019appara\u00eet pas<\/strong>\u00a0dans la liste des alertes ferm\u00e9es.<\/li>\n\n\n\n
                    • L\u2019alerte r\u00e9appara\u00eetra<\/strong>\u00a0dans les r\u00e9sultats d\u2019analyse si le code concern\u00e9 reste inchang\u00e9 et que le m\u00eame outil d\u2019analyse est relanc\u00e9 sans modification de configuration.<\/li>\n<\/ul>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

                      Dans les unit\u00e9s pr\u00e9c\u00e9dentes, vous avez cr\u00e9\u00e9 une base de donn\u00e9es et analys\u00e9 les fichiers extraits de votre code. Vous pouvez maintenant consulter […]<\/p>\n","protected":false},"author":2,"featured_media":0,"parent":5546,"menu_order":5,"comment_status":"closed","ping_status":"closed","template":"","doc_tag":[],"doc_badge":[],"class_list":["post-5567","docs","type-docs","status-publish","hentry"],"author_avatar":"https:\/\/secure.gravatar.com\/avatar\/6a70e7c73db9f245e650948d09d74f61?s=96&d=mm&r=g","author_name":"Annick N'dri","_links":{"self":[{"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/docs\/5567"}],"collection":[{"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/docs"}],"about":[{"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/types\/docs"}],"author":[{"embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/comments?post=5567"}],"version-history":[{"count":0,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/docs\/5567\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/docs\/5546"}],"wp:attachment":[{"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/media?parent=5567"}],"wp:term":[{"taxonomy":"doc_tag","embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/doc_tag?post=5567"},{"taxonomy":"doc_badge","embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/doc_badge?post=5567"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}