Como definir a configuração avançada para verificação de código

Você pode configurar a configuração avançada para um repositório para encontrar vulnerabilidades de segurança em seu código usando uma configuração altamente personalizável code scanning .

Quem pode usar esse recurso?

Proprietários de repositórios, proprietários de organizações, gerentes de segurança e usuários com a função de administrador

O Code scanning está disponível para os seguintes tipos de repositório:

  • Repositórios públicos no GitHub.com
  • Repositórios de propriedade da organização em GitHub Team, GitHub Enterprise Cloudou GitHub Enterprise Server, com GitHub Advanced Security habilitados.

Neste artigo

Observação

O administrador do site precisa habilitar a code scanning antes que você possa usar esse recurso. Se você desejar usar o GitHub Actions para fazer a varredura do seu código, o administrador do site também deverá habilitar o GitHub Actions e configurar a infraestrutura necessária. Para saber mais, confira Como configurar a verificação de código do seu dispositivo.

Observação

Este artigo descreve os recursos disponíveis na versão da ação do CodeQL e o pacote da CodeQL CLI associado incluído na versão inicial desta versão do GitHub Enterprise Server. Se sua empresa usa uma versão mais recente da ação CodeQL, confira a versão GitHub Enterprise Cloud deste artigo para obter informações sobre os recursos mais recentes. Para saber mais sobre como usar a versão mais recente, confira "Como configurar a verificação de código do seu dispositivo".

Se você não precisar de uma configuração altamente personalizável code scanning , considere usar a configuração padrão para code scanning. Para obter mais informações, consulte Sobre os tipos de instalação para verificação de código.

Pré-requisitos

Seu repositório será é elegível para configuração avançada se atender a esses requisitos.

  • Você utiliza idiomas com suporte CodeQL ou planeja gerar resultados de verificação de código com uma ferramenta de terceiros.
  • GitHub Actions está habilitado.
  • GitHub Advanced Security está habilitado.

Se o servidor no qual você está executando GitHub Enterprise Server não estiver conectado à Internet, o administrador do site poderá habilitar CodeQLcode scanning disponibilizando o CodeQL pacote de análise no servidor. Para obter mais informações, consulte Como configurar a verificação de código do seu dispositivo.

Configurando ajustes avançados para code scanning com CodeQL

Você pode personalizar sua CodeQL análise criando e editando um arquivo de fluxo de trabalho. Selecionar a configuração avançada gera um arquivo de fluxo de trabalho básico para personalizar usando a sintaxe de fluxo de trabalho padrão e especificando opções para a ação CodeQL . Confira Fluxos de trabalho e Opções de configuração de fluxo de trabalho para verificação de código.

  1. Em GitHub, acesse a página principal do repositório.

  2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Security" da barra lateral, clique em Code security.

  4. Role para baixo até "Code scanning", na linha "CodeQL análise", selecione Configurar e clique em Avançado.

    Observação

    Se você estiver mudando da configuração padrão para a configuração avançada, na linha "CodeQL análise", selecione e clique em Alternar para avançado. Na janela pop-up exibida, clique em Desabilitar CodeQL.

    Captura de tela da seção "Code scanning" das configurações "Code security". O botão "Configuração avançada" é realçado com um contorno laranja.

  5. Para personalizar como code scanning examina seu código, edite o fluxo de trabalho.

    Em geral, você pode confirmar o Fluxo de trabalho de análise do CodeQL sem fazer nenhuma alteração nele. No entanto, muitos dos fluxos de trabalho de terceiros exigem configuração adicional, portanto, leia os comentários no fluxo de trabalho antes de fazer commit.

    Para obter mais informações, consulte Opções de configuração de fluxo de trabalho para verificação de código e Verificação de código do CodeQL para linguagens compiladas.

  6. Clique em Fazer commit das alterações… para ver o formulário das alterações de commit.

    Captura de tela do formulário para criar um arquivo. À direita do nome do arquivo, um botão verde, rotulado como "Confirmar alterações...", está contornado em laranja escuro.

  7. No campo mensagem do commit, digite uma mensagem do commit.

  8. Escolha se você quer fazer commit diretamente no branch padrão ou criar um branch e iniciar uma solicitação de pull.

  9. Clique em Fazer commit de novo arquivo para fazer commit do arquivo de fluxo de trabalho no branch padrão ou clique em Propor novo arquivo para fazer commit do arquivo em um novo branch.

  10. Se você criou um branch, clique em Criar solicitação de pull e abra uma solicitação de pull para mesclar a alteração no branch padrão.

Na configuração sugerida Fluxo de trabalho de análise do CodeQL, code scanning é configurado para analisar seu código sempre que você envia uma alteração por push para o branch padrão ou outros branches protegidos, ou gera uma solicitação de pull para o branch padrão. Como resultado, code scanning começará agora.

Os gatilhos on:pull_request e on:push para varredura de código são úteis para finalidades diferentes. Confira Opções de configuração de fluxo de trabalho para verificação de código e Acionando um fluxo de trabalho.

Para obter informações sobre a ativação em massa, consulte Como definir a configuração avançada da verificação de código com CodeQL em escala.

Próximas Etapas 

Depois que o fluxo de trabalho for executado com êxito pelo menos uma vez, você estará pronto para começar a examinar e resolver code scanning alertas. Para obter mais informações sobre code scanning alertas, consulte Sobre alertas de digitalização de códigos e Avaliar alertas de varredura de código para seu repositório.

Saiba como as execuções de code scanning se comportam como verificações em pull requests, consulte Alertas de varredura de código de triagem em pull requests.

Você pode encontrar informações detalhadas sobre sua code scanning configuração na página de status da ferramenta, incluindo marcações de data e hora para cada verificação e a porcentagem de arquivos verificados. Para obter mais informações, consulte Usar a página de status da ferramenta para verificação de código.

Leitura adicional

  •         [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/triaging-code-scanning-alerts-in-pull-requests).

  •         [AUTOTITLE](/account-and-profile/managing-subscriptions-and-notifications-on-github/setting-up-notifications/configuring-notifications#github-actions-notification-options).

  •         [AUTOTITLE](/code-security/code-scanning/creating-an-advanced-setup-for-code-scanning/customizing-your-advanced-setup-for-code-scanning).

  •         [AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/viewing-code-scanning-logs).