{"meta":{"title":"À propos des fichiers SARIF pour l’analyse du code","intro":"Les fichiers SARIF convertissent des analyses tierces en alertes sur GitHub.","product":"Sécurité et qualité du code","breadcrumbs":[{"href":"/fr/code-security","title":"Sécurité et qualité du code"},{"href":"/fr/code-security/concepts","title":"Concepts"},{"href":"/fr/code-security/concepts/code-scanning","title":"Analyse du code"},{"href":"/fr/code-security/concepts/code-scanning/sarif-files","title":"Fichiers SARIF"}],"documentType":"article"},"body":"# À propos des fichiers SARIF pour l’analyse du code\n\nLes fichiers SARIF convertissent des analyses tierces en alertes sur GitHub.\n\n> \\[!NOTE] Si vous utilisez la configuration par défaut pour code scanning, ou une configuration avancée qui utilise GitHub Actions pour exécuter l’action CodeQL, vous n’avez pas besoin d’interagir avec les fichiers SARIF. Les résultats de l'analyse sont téléchargés et interprétés automatiquement en tant qu'alertes code scanning.\n\nSARIF est un *format d’échange de résultats d’analyse statique*. Il s’agit d’une norme JSON pour stocker les résultats à partir d’outils d’analyse statique.\n\nSi vous utilisez un **outil d’analyse tiers ou un système CI/CD** pour analyser le code des vulnérabilités, vous pouvez générer un fichier SARIF et le charger sur GitHub. GitHub analyse le fichier SARIF et affiche des alertes en utilisant les résultats dans votre dépôt dans le cadre de l’expérience d’code scanning.\n\nGitHub utilise des propriétés dans le fichier SARIF pour afficher des alertes. Par exemple, les propriétés `shortDescription` et `fullDescription` apparaissent en haut d’une alerte d’code scanning. Le `location` permet à GitHub d’afficher les annotations dans votre fichier de code.\n\nCet article explique comment les fichiers SARIF sont utilisés sur GitHub. Si vous débutez avec SARIF et que vous souhaitez en savoir plus, consultez le dépôt [`SARIF tutorials`](https://github.com/microsoft/sarif-tutorials) de Microsoft.\n\n## Exigences de version\n\nCode scanning prend en charge un sous-ensemble du schéma JSON [SARIF 2.1.0](https://docs.oasis-open.org/sarif/sarif/v2.1.0/sarif-v2.1.0.html) . Vérifiez que les fichiers SARIF des outils tiers utilisent cette version.\n\n## Méthodes de chargement\n\nVous pouvez charger un fichier SARIF à l’aide de GitHub Actions, de l’API code scanning ou de CodeQL CLI. La meilleure méthode de chargement dépend de la façon dont vous générez le fichier SARIF. Pour plus d’informations, consultez « [Chargement d’un fichier SARIF sur GitHub](/fr/code-security/how-tos/scan-code-for-vulnerabilities/integrate-with-existing-tools/uploading-a-sarif-file-to-github) »."}