Dependendo da configuração, code scanning os resultados podem aparecer como resultados de verificação e anotações em solicitações de pull. Para saber mais, confira Sobre alertas de digitalização de códigos.
Exibindo os resultados da code scanning verificação
Para todas as configurações de code scanning, a verificação que inclui os resultados de code scanning é: Code scanning resultados. Os resultados de cada ferramenta de análise utilizada são mostrados separadamente. Quaisquer novos alertas sobre linhas de código alteradas na solicitação de pull são exibidos como anotações.
Para ver o conjunto completo de alertas do branch analisado, clique em Exibir todos os alertas do branch. Isso abre a visualização completa de alertas, onde você pode filtrar todos os alertas da ramificação por tipo, gravidade, tag etc. Para obter mais informações, consulte Avaliar alertas de varredura de código para seu repositório.
Gerenciando níveis de severidade para falhas de verificação
Se a code scanning verificação de resultados encontrar algum problema com uma gravidade de error, critical, ou high, a verificação falha e o erro é relatado nos resultados da verificação. Se todos os resultados encontrados por code scanning tiverem menores severidades, os alertas serão tratados como avisos ou notas, e a verificação será concluída com sucesso.
Você pode substituir o comportamento padrão nas configurações do repositório especificando o nível de severidades e as severidades de segurança que causarão falha da solicitação de pull. Para saber mais, confira Opções de configuração de fluxo de trabalho para verificação de código.
Diagnosticando problemas com a configuração code scanning
Dependendo da configuração, você poderá ver verificações adicionais em execução em solicitações de pull com code scanning configuradas. Geralmente, são fluxos de trabalho que analisam o código ou que carregam code scanning resultados. Essas verificações são úteis para a resolução de problemas em caso de problemas com a análise.
Por exemplo, se o repositório usar a Fluxo de trabalho de análise do CodeQL análise a CodeQL / Analisar (LANGUAGE) é executada para cada idioma antes que a verificação dos resultados seja realizada. A verificação de análise poderá falhar se houver problemas de configuração ou se a solicitação de pull interromper o build de um idioma compilado pela análise (por exemplo, C/C++, C#, Go, Java, Kotlin, Rust, e Swift).
Assim como em outras verificações de solicitações de pull, você pode ver todos os detalhes da falha na aba Verificações. Para obter mais informações sobre configuração e resolução de problemas, consulte Opções de configuração de fluxo de trabalho para verificação de código ou Solução de erros de análise de escaneamento de código.
Visualizando um alerta no seu pull request
Você pode ver quaisquer code scanning alertas que estão no dif das alterações introduzidas em um pull request visualizando a guia Conversa. Code scanning publica uma revisão de pull request que mostra cada alerta como uma anotação nas linhas de código que dispararam o alerta. Você pode comentar os alertas, ignorar os alertas e ver os caminhos para os alertas, diretamente nas anotações. Você pode ver os detalhes completos de um alerta clicando no link "Mostrar mais detalhes", que acessa a página de detalhes do alerta.
Você também pode exibir todos os code scanning alertas que estão dentro da diferença das alterações introduzidas na solicitação de pull na guia Arquivos alterados .
Se você adicionar uma nova configuração de verificação de código em seu pull request, verá um comentário em seu pull request direcionando você para a Security and quality guia do repositório para que você possa visualizar todos os alertas no branch do pull request. Para obter mais informações sobre como visualizar os alertas de um repositório, consulte Avaliar alertas de varredura de código para seu repositório.
Se você tiver permissão de gravação para o repositório, algumas anotações conterão links com contexto adicional para o alerta. No exemplo acima, na CodeQL análise, você pode clicar no valor fornecido pelo usuário para ver onde os dados não confiáveis entram no fluxo de dados (isso é chamado de fonte). Nesse caso, você também pode ver o caminho completo do código-fonte do código que usa os dados (o coletor) clicando em Mostrar caminhos. Isto faz com que seja fácil verificar se os dados não são confiáveis ou se a análise não reconheceu uma etapa de sanitização de dados entre a fonte e o destino. Para obter informações sobre como analisar o fluxo de dados usando CodeQL, consulte Sobre a análise de fluxo de dados.
Para ver mais informações sobre um alerta, os usuários com a permissão de gravação podem clicar no link Mostrar mais detalhes mostrado na anotação. Isso permite que você veja todos os contextos e metadados fornecidos pela ferramenta em uma exibição de alerta. No exemplo abaixo, você pode ver tags que mostram a gravidade, o tipo e as enumerações de fraquezas comuns relevantes (CWEs) para o problema. A vista mostra também quais commits introduziram o problema.
O status e os detalhes na página de alerta refletem apenas o estado do alerta no branch padrão do repositório, mesmo que o alerta exista em outros branches. Você pode ver o status do alerta em branches não padrão na seção Branches afetados no lado direito da página de alerta. Se um alerta não existir no branch padrão, o status do alerta será exibido como "na solicitação de pull" ou "no branch" e será cinza. A seção Development mostra branches vinculados e pull requests que corrigirão o alerta.
Na exibição detalhada de um alerta, algumas code scanning ferramentas, como CodeQL a análise, também incluem uma descrição do problema e um Link Mostrar mais para obter orientações sobre como corrigir seu código.
Como comentar um alerta em uma solicitação de pull
Você pode comentar qualquer code scanning alerta que apareça em uma solicitação de pull. Os alertas aparecem como anotações na aba Conversação de uma solicitação de pull, como parte de uma revisão de solicitação de pull e também são exibidas na aba Arquivos alterados.
Você pode optar por exigir que todas as conversas em uma solicitação de pull, incluindo aquelas em code scanning alertas, sejam resolvidas antes que uma solicitação de pull possa ser mesclada. Para saber mais, confira Sobre branches protegidos.
Corrigir de um alerta no seu pull request
Qualquer pessoa com acesso por push a uma solicitação de pull pode corrigir um code scanning alerta identificado nessa solicitação de pull. Se você fizer commit de alterações na solicitação do pull request, isto acionará uma nova execução das verificações do pull request. Se suas alterações corrigirem o problema, o alerta será fechado e a anotação removida.
Trabalhando com Autofixo do Copilot sugestões para alertas em um pull request
Correção Automática do GitHub Copilot é uma expansão de code scanning que fornece recomendações direcionadas para ajudá-lo a corrigir alertas de code scanning (incluindo alertas de CodeQL) em solicitações de pull. As correções potenciais são geradas automaticamente por LLMs (grandes modelos de linguagem) usando dados da base de código, da solicitação de pull e da code scanning análise.
Observação
Você não precisa de uma assinatura do GitHub Copilot para usar o Correção Automática do GitHub Copilot. O Autofixo do Copilot está disponível para todos os repositórios públicos no GitHub.com, bem como repositórios internos ou privados de propriedade de organizações e empresas que tenham uma licença para o GitHub Code Security.
Gerando Autofixo do Copilot sugestões e publicando em um pull request
Quando Autofixo do Copilot está habilitado para um repositório, os alertas são exibidos em solicitações de pull normalmente e as informações de todos os alertas encontrados por code scanning ele são enviadas automaticamente para a LLM para processamento. Quando a análise do LLM é concluída, todos os resultados são publicados como comentários sobre alertas relevantes. Para saber mais, confira Uso responsável da Correção Automática do Copilot para verificação de código.
Observação
* Autofixo do Copilot dá suporte a um subconjunto de CodeQL consultas. Para obter informações sobre a disponibilidade de Autofixo do Copilot, consulte as tabelas de consulta vinculadas a partir de Consultas para análise de CodeQL.
- Quando a análise estiver concluída, todos os resultados relevantes serão publicados na solicitação de pull de uma só vez. Se pelo menos um alerta em sua solicitação de pull tiver uma Autofixo do Copilot sugestão, você deverá assumir que a LLM terminou de identificar possíveis correções para seu código.
- Em alertas gerados a partir de consultas que não são suportadas por Autofixo do Copilot, você verá uma nota informando que a consulta não tem suporte. Se uma sugestão para uma consulta com suporte não for gerada, você verá uma nota no alerta solicitando que você tente enviar outro commit ou entre em contato com o suporte.
Autofixo do Copilot para code scanning alertas não será capaz de gerar uma correção para cada alerta em cada situação. O recurso opera com base no melhor esforço e não tem a garantia de ter êxito em 100% das vezes. Para obter informações sobre as limitações das correções geradas automaticamente, confira [Limitações das sugestões](/code-security/code-scanning/managing-code-scanning-alerts/about-autofix-for-codeql-code-scanning#limitations-of-suggestions).
Normalmente, quando você sugere alterações em uma solicitação de pull, seu comentário contém alterações para um único arquivo que é alterado na solicitação de pull. A captura de tela a seguir mostra um Autofixo do Copilot comentário que sugere alterações no index.js arquivo em que o alerta é exibido. Como a possível correção exige uma nova dependência no escape-html, o comentário também sugere adicionar essa dependência ao arquivo package.json, mesmo que a solicitação de pull original não faça alterações nesse arquivo.
Avaliando e confirmando uma sugestão Autofixo do Copilot
Cada Autofixo do Copilot sugestão demonstra uma possível solução para um code scanning alerta no seu repositório de código. Avalie as alterações sugeridas para determinar se elas são uma boa solução para sua base de código e para garantir que elas mantenham o comportamento pretendido. Para obter informações sobre as limitações de Autofixo do Copilot sugestões, consulte Limitações de sugestões e Mitigação das limitações de sugestões em "Uso responsável de Autofixo do Copilot para code scanning."
- Clique em Editar para exibir as opções de edição e selecione o seu método preferencial.
- Em Editar com GitHub CLI, siga as instruções para verificar a solicitação de pull localmente e aplicar a correção sugerida.
- Selecione Editar FILENAME para editar o arquivo diretamente em GitHub com a correção sugerida aplicada.
- Opcionalmente, caso prefira aplicar a correção em um repositório ou branch local, selecione o menu suspenso na sugestão.
- Selecione Exibir patch de correção automática para exibir instruções para aplicar a correção sugerida a qualquer repositório local ou branch.
- Selecione Copiar linha modificada LINE_NUMBER para copiar uma linha específica da sugestão.
- Teste e modifique a correção sugerida conforme necessário.
- Quando terminar de testar as alterações, confirme-as e envie-as para a ramificação.
- O envio das alterações para sua ramificação acionará todos os testes usuais para sua solicitação de pull. Confirme se os testes de unidade ainda passam e que o alerta code scanning está agora corrigido.
Ignorar uma Autofixo do Copilot sugestão
Se você decidir rejeitar uma Autofixo do Copilot sugestão, clique em Ignorar sugestão no comentário para ignorar a correção sugerida.
Ignorar um alerta no seu pull request
Uma forma alternativa de fechar um alerta é ignorá-lo. Você pode descartar um alerta se não acha que ele precisa ser corrigido. Por exemplo, um erro no código que é usado apenas para testes ou quando o esforço de corrigir o erro é maior do que o benefício potencial de melhorar o código. Se você tiver permissão de gravação para o repositório, um botão Ignorar alerta estará disponível em anotações de código e no resumo de alertas. Quando você clicar em Ignorar alerta, precisará escolher um motivo para fechar o alerta.
É importante escolher o motivo apropriado no menu suspenso, pois isso pode afetar se uma consulta continua sendo incluída em análise futura. Opcionalmente, você pode fazer um comentário para registrar o contexto de um alerta ignorado. O comentário sobre o alerta ignorado é adicionado à linha do tempo do alerta e pode ser usado como justificativa em auditorias e relatórios. Você pode recuperar ou definir um comentário usando a API REST de verificação de código. O comentário está contido no dismissed_comment do ponto de extremidade alerts/{alert_number}. Para saber mais, confira Pontos de extremidade da API REST para varredura de código.
Se você ignorar um alerta de CodeQL como um falso resultado positivo, por exemplo, porque o código usa uma biblioteca de sanitização incompatível, considere contribuir para o repositório de CodeQL e melhorar a análise. Para obter mais informações sobre CodeQL, confira Contribuir para CodeQL.
Para obter mais informações sobre ignorar alertas, consulte Resolver alertas de varredura de código.