Analyse basée sur CodeQL pour la qualité du code

Information sur le fonctionnement de l’analyse basée sur CodeQL Code Quality, le flux de travail utilisé et les vérifications d’état signalées sur les requêtes d'extraction.

Dans cet article

Remarque

GitHub Code Quality est actuellement dans préversion publique et peut être modifié. Pendant préversion publique, Code Quality ne sera pas facturé, bien que les analyses Code Quality consomment GitHub Actions minutes.

CodeQL-Analyse optimisée

          Code Quality utilise CodeQL pour effectuer une analyse basée sur des règles des pull requests et de votre branche par défaut.

  • Les résultats de votre branche par défaut apparaissent sous le tableau de bord «Résultats standard» dans l’onglet Security and quality de votre dépôt.

  • Les résultats sur les pull requests apparaissent sous forme de commentaires effectués par github-code-quality[bot].

            Copilot Autofix des suggestions sont fournies pour les résultats dans la mesure du possible.

Listes de requêtes pour les langues prises en charge

Chaque Code Quality règle est écrite en tant que requête dans CodeQL, puis exécutée à l’aide de GitHub Actions.

Les règles sont continuellement affinées par GitHub et par les développeurs open source.

  •         [AUTOTITLE](/code-security/code-quality/reference/codeql-queries/csharp-queries)

  •         [AUTOTITLE](/code-security/code-quality/reference/codeql-queries/go-queries)

  •         [AUTOTITLE](/code-security/code-quality/reference/codeql-queries/java-queries)

  •         [AUTOTITLE](/code-security/code-quality/reference/codeql-queries/javascript-queries)

  •         [AUTOTITLE](/code-security/code-quality/reference/codeql-queries/python-queries)

  •         [AUTOTITLE](/code-security/code-quality/reference/codeql-queries/ruby-queries)

Pour plus d’informations sur le CodeQL projet, consultez https://codeql.github.com/.

Flux de travail utilisé pour l’analyse de la qualité du code

Vous pouvez voir toutes les exécutions de workflow de Code Quality sur l’onglet Actions de votre référentiel. Le flux de travail dynamique est appelé «Qualité du code ».

Par défaut, le Qualité du code flux de travail s’exécute sur des exécuteurs standard GitHub , mais vous pouvez configurer Code Quality pour utiliser des exécuteurs avec une étiquette spécifique. Ceux-ci peuvent être hébergés par GitHub ou auto-hébergés.

Si votre organisation a configuré la mise en cache des registres privés, celles-ci sont disponibles pour l’analyse de la qualité du code à utiliser pour résoudre les dépendances.

Pour plus d’informations, consultez :

  •         [AUTOTITLE](/code-security/code-quality/how-tos/enable-code-quality)

  •         [AUTOTITLE](/code-security/securing-your-organization/enabling-security-features-in-your-organization/giving-org-access-private-registries#code-quality-access-to-private-registries)

Tests de statut des pull requests

Lorsque l’analyse de la qualité du code s’exécute sur une demande de tirage, la vérification «CodeQL - Qualité du code / Analyser » s’affiche dans la section « Vérifications » en bas de la demande de tirage.

Tous les problèmes de code identifiés par l’analyse sont signalés dans les commentaires sur la demande de tirage. Le commentaire est fait par le github-code-quality[bot] et inclut une suggestion Copilot Autofix.

Échecs de vérification de l’état

Le flux de travail n’a pas pu s’exécuter. Par exemple, votre budget pour les minutes d’actions est épuisé. Consultez Affichage des journaux pour diagnostiquer les défaillances.

La fusion est bloquée : des découvertes de qualité de code ont été détectées

L’analyse a détecté des problèmes dans le code qui dépassent la porte de qualité définie par une règle de branche de qualité de code pour le référentiel. Vous devez résoudre ces problèmes avant de pouvoir fusionner le pull request. Consultez Résolution d’un blocage sur votre requête pull.