About code scanning

You can use Varredura de código to find security vulnerabilities and errors in the code for your project on GitHub.

Varredura de código is available for all public repositories, and for private repositories owned by organizations where Segurança Avançada GitHub is enabled. Para obter mais informações, consulte "Sobre Segurança Avançada GitHub".

About Varredura de código

Varredura de código é um recurso que você usa para analisar o código em um repositório de GitHub para localizar vulnerabilidades de segurança e erros de codificação. Quaisquer problemas identificados pela análise são exibidos em GitHub.

You can use Varredura de código to find, triage, and prioritize fixes for existing problems in your code. Varredura de código also prevents developers from introducing new problems. You can schedule scans for specific days and times, or trigger scans when a specific event occurs in the repository, such as a push.

If Varredura de código finds a potential vulnerability or error in your code, GitHub displays an alert in the repository. After you fix the code that triggered the alert, GitHub closes the alert. For more information, see "Managing Varredura de código alerts for your repository."

To monitor results from Varredura de código across your repositories or your organization, you can use webhooks and the Varredura de código API. For information about the webhooks for Varredura de código, see "Webhook events and payloads." For information about API endpoints, see "Varredura de código."

To get started with Varredura de código, see "Setting up Varredura de código for a repository."

About billing for Varredura de código

Varredura de código uses GitHub Actions, and each run of a Varredura de código workflow consumes minutes for GitHub Actions. For more information, see "About billing for GitHub Actions."

About tools for Varredura de código

You can set up Varredura de código to use the CodeQL product maintained by GitHub or a third-party Varredura de código tool.

About CodeQL analysis

CodeQL is the code analysis engine developed by GitHub to automate security checks. You can analyze your code using CodeQL and display the results as Varredura de código alerts. For more information about CodeQL, see "About code scanning with CodeQL."

About third-party Varredura de código tools

Varredura de código é interoperável com ferramentas de escaneamento de código de terceiros que saem dados de análise estática de resultados de mudança de formato (SARIF). SARIF é um padrão aberto. Para obter mais informações, consulte "SARIF output for Varredura de código."

You can run third-party analysis tools within GitHub using actions or within an external CI system. For more information, see "Setting up code scanning for a repository" or "Uploading a SARIF file to GitHub."

Esse documento ajudou você?Política de Privacidade

Ajude-nos a tornar esses documentos ótimos!

Todos os documentos do GitHub são de código aberto. Você percebeu que algo que está errado ou não está claro? Envie um pull request.

Faça uma contribuição

Ou, aprenda como contribuir.