Como definir a configuração avançada para verificação de código

Você pode configurar a configuração avançada para um repositório para encontrar vulnerabilidades de segurança em seu código usando uma configuração altamente personalizável code scanning .

Quem pode usar esse recurso?

Proprietários de repositórios, proprietários de organizações, gerentes de segurança e usuários com a função de administrador

O Code scanning está disponível para os seguintes tipos de repositório:

  • Repositórios públicos no GitHub.com
  • Repositórios de propriedade da organização em GitHub Team, GitHub Enterprise Cloudou GitHub Enterprise Server, com GitHub Code Security habilitados.

Neste artigo

Se você não precisar de uma configuração altamente personalizável code scanning , considere usar a configuração padrão para code scanning. Para obter mais informações, consulte Sobre os tipos de instalação para verificação de código.

Pré-requisitos

Seu repositório será é elegível para configuração avançada se atender a esses requisitos.

  • Você utiliza idiomas com suporte CodeQL ou planeja gerar resultados de verificação de código com uma ferramenta de terceiros.
  • GitHub Actions está habilitado.
  • Publicamente visível, ou o GitHub Code Security está habilitado.

Configurando ajustes avançados para code scanning com CodeQL

Você pode personalizar sua CodeQL análise criando e editando um arquivo de fluxo de trabalho. Selecionar a configuração avançada gera um arquivo de fluxo de trabalho básico para personalizar usando a sintaxe de fluxo de trabalho padrão e especificando opções para a ação CodeQL . Confira Fluxos de trabalho e Opções de configuração de fluxo de trabalho para verificação de código.

O uso de ações para executar a code scanning usará minutos. Para saber mais, confira Cobrança do GitHub Actions.

  1. Em GitHub, acesse a página principal do repositório.

  2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Security" da barra lateral, clique em Advanced Security.

  4. Role para baixo até "Code Security", na linha "CodeQL análise", selecione Configurar e clique em Avançado.

    Observação

    Se você estiver mudando da configuração padrão para a configuração avançada, na linha "CodeQL análise", selecione e clique em Alternar para avançado. Na janela pop-up exibida, clique em Desabilitar CodeQL.

    Captura de tela da seção "Code Security" das configurações "Advanced Security". O botão "Configuração avançada" é realçado com um contorno laranja.

  5. Para personalizar como code scanning examina seu código, edite o fluxo de trabalho.

    Em geral, você pode confirmar o Fluxo de trabalho de análise do CodeQL sem fazer nenhuma alteração nele. No entanto, muitos dos fluxos de trabalho de terceiros exigem configuração adicional, portanto, leia os comentários no fluxo de trabalho antes de fazer commit.

    Para obter mais informações, consulte Opções de configuração de fluxo de trabalho para verificação de código e Verificação de código do CodeQL para linguagens compiladas.

  6. Clique em Fazer commit das alterações… para ver o formulário das alterações de commit.

    Captura de tela do formulário para criar um arquivo. À direita do nome do arquivo, um botão verde, rotulado como "Confirmar alterações...", está contornado em laranja escuro.

  7. No campo mensagem do commit, digite uma mensagem do commit.

  8. Escolha se você quer fazer commit diretamente no branch padrão ou criar um branch e iniciar uma solicitação de pull.

  9. Clique em Fazer commit de novo arquivo para fazer commit do arquivo de fluxo de trabalho no branch padrão ou clique em Propor novo arquivo para fazer commit do arquivo em um novo branch.

  10. Se você criou um branch, clique em Criar solicitação de pull e abra uma solicitação de pull para mesclar a alteração no branch padrão.

Na configuração sugerida Fluxo de trabalho de análise do CodeQL, code scanning é configurado para analisar seu código sempre que você envia uma alteração por push para o branch padrão ou outros branches protegidos, ou gera uma solicitação de pull para o branch padrão. Como resultado, code scanning começará agora.

Os gatilhos on:pull_request e on:push para varredura de código são úteis para finalidades diferentes. Confira Opções de configuração de fluxo de trabalho para verificação de código e Acionando um fluxo de trabalho.

Para obter informações sobre a ativação em massa, consulte Como definir a configuração avançada da verificação de código com CodeQL em escala.

Configurando code scanning usando ações de terceiros

          GitHub inclui modelos de fluxo de trabalho para ações de terceiros, bem como a ação CodeQL . Utilizar um modelo de fluxo de trabalho é muito mais fácil do que criar um fluxo de trabalho do zero.

O uso de ações para executar a code scanning usará minutos. Para saber mais, confira Cobrança do GitHub Actions.

  1. Em GitHub, acesse a página principal do repositório.

  2. No nome do repositório, clique em Actions.

    Captura de tela das guias do repositório "github/docs". A guia "Ações" está realçada com um contorno laranja.

  3. Se o repositório já tiver pelo menos um fluxo de trabalho configurado e em execução, clique em Novo fluxo de trabalho para exibir os modelos de fluxo de trabalho. Se, atualmente, não houver fluxos de trabalho configurados para o repositório, vá para a próxima etapa.

    Captura de tela da guia Ações de um repositório. O botão "Novo fluxo de trabalho" está contornado em laranja escuro.

  4. No modo de exibição "Escolher um fluxo de trabalho" ou "Introdução GitHub Actions", role para baixo até a categoria "Segurança" e clique em Configurar no fluxo de trabalho que você deseja configurar. Talvez seja necessário clicar em Exibir tudo para localizar o fluxo de trabalho de segurança que deseja configurar.

    Captura de tela da categoria Segurança dos modelos de fluxo de trabalho. O botão Configurar e o link "Exibir tudo" são realçados com um contorno laranja.

  5. Siga as instruções no fluxo de trabalho para personalizá-lo de acordo com suas necessidades. Para obter mais assistência geral sobre fluxos de trabalho, clique em Documentação no painel direito da página de fluxo de trabalho.

    Captura de tela mostrando um arquivo de modelo de fluxo de trabalho aberto para edição. O botão "Documentação" é realçado com um contorno laranja.

  6. Quando terminar de definir sua configuração, adicione o novo fluxo de trabalho ao branch padrão.

    Para obter mais informações, consulte Usando modelos de fluxo de trabalho e Opções de configuração de fluxo de trabalho para verificação de código.

Próximas Etapas 

Depois que o fluxo de trabalho for executado com êxito pelo menos uma vez, você estará pronto para começar a examinar e resolver code scanning alertas. Para obter mais informações sobre code scanning alertas, consulte Sobre alertas de digitalização de códigos e Avaliar alertas de varredura de código para seu repositório.

Saiba como as execuções de code scanning se comportam como verificações em pull requests, consulte Alertas de varredura de código de triagem em pull requests.

Você pode encontrar informações detalhadas sobre sua code scanning configuração na página de status da ferramenta, incluindo marcações de data e hora para cada verificação e a porcentagem de arquivos verificados. Para obter mais informações, consulte Usar a página de status da ferramenta para verificação de código.

Leitura adicional

  •         [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/triaging-code-scanning-alerts-in-pull-requests).

  •         [AUTOTITLE](/account-and-profile/managing-subscriptions-and-notifications-on-github/setting-up-notifications/configuring-notifications#github-actions-notification-options).

  •         [AUTOTITLE](/code-security/code-scanning/creating-an-advanced-setup-for-code-scanning/customizing-your-advanced-setup-for-code-scanning).

  •         [AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/viewing-code-scanning-logs).