{"id":428,"date":"2020-09-30T10:18:16","date_gmt":"2020-09-30T10:18:16","guid":{"rendered":"https:\/\/github.blog\/fr\/?p=428"},"modified":"2020-10-05T11:49:32","modified_gmt":"2020-10-05T11:49:32","slug":"github-annonce-la-disponibilite-de-code-scanning","status":"publish","type":"post","link":"https:\/\/github.blog\/fr\/2020-09-30-github-annonce-la-disponibilite-de-code-scanning\/","title":{"rendered":"GitHub annonce la disponibilit\u00e9 de Code scanning\u00a0"},"content":{"rendered":"

GitHub code scanning<\/span><\/i><\/a>, destin\u00e9e aux d\u00e9veloppeurs, est une approche native de GitHub. Elle permet de trouver facilement les failles de s\u00e9curit\u00e9 avant qu’elles n’atteignent l\u2019\u00e9tape de la production. GitHub est ravi d’annoncer que code scanning est d\u00e9sormais disponible. Il est <\/span>possible de l\u2019activer sur un d\u00e9p\u00f4t public d\u00e8s \u00e0 pr\u00e9sent!<\/span><\/i><\/a><\/p>\n

Depuis <\/span>l\u2019acquisition de <\/span>Semmle<\/span><\/a> il y a un an, GitHub a travaill\u00e9 pour apporter \u00e0 ses utilisateurs les capacit\u00e9s r\u00e9volutionnaires d’analyse de code de la technologie CodeQL en natif. Lors de <\/span>GitHub Satellite<\/span><\/a> en Mai, GitHub a lanc\u00e9 la premi\u00e8re version b\u00eata de son int\u00e9gration native : code scanning. Gr\u00e2ce aux milliers de d\u00e9veloppeurs de la communaut\u00e9 qui ont test\u00e9 et donn\u00e9 leur avis, GitHub est fier d’annoncer que <\/span>\u00a0<\/span>code scanning<\/span><\/a> est d\u00e9sormais accessible \u00e0 tous.\u00a0<\/span><\/p>\n

Code scanning aide \u00e0 pr\u00e9venir les probl\u00e8mes de s\u00e9curit\u00e9 dans le code<\/b><\/p>\n

Code scanning adopte une approche <\/span>centr\u00e9e sur le d\u00e9veloppeur<\/span><\/a>. Au lieu de submerger l\u2019utilisateur de suggestions, code scanning ex\u00e9cute par d\u00e9faut uniquement les r\u00e8gles de s\u00e9curit\u00e9 qui sont exploitables au sein de la solution. L\u2019utilisateur reste ainsi concentr\u00e9 sur la t\u00e2che \u00e0 accomplir.\u00a0<\/span><\/p>\n

Code scanning s’int\u00e8gre \u00e0 GitHub Actions – ou \u00e0 un environnement CI\/CD existant – pour maximiser la flexibilit\u00e9 des \u00e9quipes de d\u00e9veloppeurs. Il scanne le code au fur et \u00e0 mesure de sa cr\u00e9ation et fait remonter les revues de s\u00e9curit\u00e9 dans les pull requests et autres exp\u00e9riences GitHub utilis\u00e9es quotidiennement, en automatisant la s\u00e9curit\u00e9 dans le cadre du workflow. Cette approche permet aux utilisateurs de s’assurer que les vuln\u00e9rabilit\u00e9s en termes de s\u00e9curit\u00e9 n\u2019atteignent jamais la phase de production.\u00a0<\/span><\/p>\n

Code scanning est aliment\u00e9 par CodeQL, le moteur d’analyse de code le plus puissant au monde. Il est possible d\u2019utiliser plus de 2 000 requ\u00eates CodeQL cr\u00e9\u00e9es par GitHub et la communaut\u00e9, ou cr\u00e9er des requ\u00eates personnalis\u00e9es pour d\u00e9tecter facilement de nouveaux probl\u00e8mes de s\u00e9curit\u00e9 et les pr\u00e9venir.\u00a0\u00a0<\/span><\/p>\n

Bas\u00e9 sur la norme SARIF, code scanning est extensible afin que les utilisateurs puissent inclure des solutions de test de s\u00e9curit\u00e9 des applications statiques (SAST) open sources et commerciales dans une m\u00eame exp\u00e9rience native GitHub. Il est \u00e9galement possible d’int\u00e9grer des moteurs d’analyse tiers pour afficher les r\u00e9sultats de tous les outils de s\u00e9curit\u00e9 utilis\u00e9s dans une seule interface et exporter plusieurs r\u00e9sultats d’analyse via une seule API. GitHub partagera bient\u00f4t plus d’informations sur les capacit\u00e9s d’extension disponibles et sur son \u00e9cosyst\u00e8me de partenaires.\u00a0<\/span><\/p>\n

Des r\u00e9sultats passionnants jusqu’\u00e0 pr\u00e9sent !\u00a0<\/b><\/p>\n

Depuis l’introduction de la version b\u00eata en mai, GitHub a constat\u00e9 une <\/span>adoption <\/span>massive de la solution par la communaut\u00e9 :\u00a0<\/span><\/p>\n