Como definir a configuração padrão da verificação de código

Neste artigo

Você pode proteger rapidamente o código no seu repositório com a configuração padrão da code scanning.

Quem pode usar esse recurso

People with admin permissions to a repository, or the security manager role for the repository, can configure code scanning for that repository.

A Code scanning está disponível para todos os repositórios públicos do GitHub.com. A Code scanning também está disponível em repositórios privados pertencentes às organizações que usam o GitHub Enterprise Cloud e que têm uma licença do GitHub Advanced Security. Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub".

Sobre a configuração padrão

A configuração padrão da code scanning é a maneira mais rápida, mais fácil e de mais baixa manutenção de habilitar a code scanning para seu repositório. Com base no código do repositório, a configuração padrão criará automaticamente uma configuração personalizada da code scanning. Depois de ativar a configuração padrão, o código em seu repositório será verificado:

  • em cada push para o branch padrão do repositório ou qualquer branch protegido. Para obter mais informações sobre branches protegidos, consulte "Sobre branches protegidos".
  • ao criar ou se comprometer com uma solicitação de pull baseada no branch padrão do repositório ou em qualquer branch protegido.
  • em um agendamento semanal.

Nota: se nenhuma solicitação de push e pull tiver ocorrido em um repositório por 60 dias, o agendamento semanal será desativado para economizar seus minutos do GitHub Actions.

Você pode habilitar a definição selecionada automaticamente da configuração padrão para começar a verificar seu código assim que possível ou personalizar aspectos da definição de acordo com suas necessidades da code scanning. Se você optar por personalizar a configuração por conta própria, selecione:

  • a configuração padrão de linguagens será analisada.
  • a configuração padrão do pacote de consultas será executada. Para obter mais informações, confira "Conjuntos de consultas internos do CodeQL".

Você também pode habilitar a configuração padrão de vários ou de todos os repositórios em uma organização ao mesmo tempo. Para obter informações sobre a habilitação em massa, confira "Como definir a configuração padrão da verificação de código em escala".

Caso você precise ter um controle mais granular sobre a configuração da code scanning, defina a configuração avançada. Para obter mais informações, confira "Como definir a configuração avançada da verificação de código".

Requisitos para usar a configuração padrão

Seu repositório está qualificado para a configuração padrão da code scanning se:

  • ele inclui, pelo menos, uma linguagem compatível com o CodeQL .
  • As GitHub Actions estão habilitadas.
  • estão publicamente visíveis.

Use a configuração padrão se o repositório incluir linguagens não compatíveis com o CodeQL, como o R. Para obter mais informações sobre as linguagens compatíveis com o CodeQL, confira "Sobre a varredura de código com CodeQL".

Sobre como adicionar linguagens não compiladas e compiladas à configuração padrão

Se o código de um repositório for alterado para incluir o Go, o JavaScript/TypeScript, o Python ou o Ruby, o GitHub atualizará automaticamente a configuração da code scanning para incluir a nova linguagem. Em caso de falha na code scanning na nova configuração, o GitHub retomará automaticamente a configuração anterior para que o repositório não perca a cobertura da code scanning.

As linguagens compiladas não são incluídas automaticamente na definição padrão de configuração porque frequentemente exigem uma configuração mais avançada, mas você pode selecionar manualmente qualquer linguagem compilada compatível com o CodeQL, para análise.

Como definir a configuração padrão de um repositório

  1. No GitHub.com, navegue até a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações. Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.

  4. Na seção "Code scanning", selecione Configurar e clique em Padrão.

    Captura de tela da seção do "Code scanning" das configurações de "Segurança e análise de código". O botão "Configuração padrão" é realçado com um contorno laranja.

    Em seguida, você verá uma caixa de diálogo "configuração padrão do CodeQL" resumindo a configuração da code scanning criada automaticamente pela configuração padrão.

Observação: se o repositório contiver apenas linguagens compiladas compatíveis com o CodeQL (por exemplo, Java), você será levado à página de configurações para selecionar as linguagens que deseja adicionar à definição de configuração padrão.

  1. Como opção, para personalizar a configuração do code scanning, clique em Editar.

    • Para adicionar ou remover uma linguagem da análise executada pela configuração padrão, selecione ou desmarque essa linguagem da seção "Linguagens". Caso deseje analisar uma linguagem compilada compatível com o CodeQL com a configuração padrão, selecione a linguagem aqui.
    • Para especificar o pacote de consultas do CodeQL que você gostaria de usar, selecione o conjunto de consultas preferido na seção "Pacotes de consultas".

  2. Revise as definições da configuração padrão no repositório e clique em Habilitar o CodeQL . Isso acionará um fluxo de trabalho que testa a nova configuração gerada automaticamente.

    Observação: se você estiver mudando da configuração padrão para a configuração avançada, verá um aviso informando que a configuração padrão substituirá as configurações existentes da code scanning. Esse aviso indica que a configuração padrão desabilitará o arquivo de fluxo de trabalho existente e bloqueará os uploads da API de análise do CodeQL.

  3. Opcionalmente, para ver a configuração padrão após a habilitação, selecione e clique em Exibir configuração do CodeQL .

Próximas etapas

Depois de definir a configuração padrão da code scanning e ela for executada com sucesso, pelo menos, uma vez, você poderá começar a verificar e resolver os alertas da code scanning. Para obter mais informações sobre os alertas da code scanning, confira "Sobre alertas de digitalização de códigos" e "Gerenciamento de alertas de varredura de código para seu repositório".

Encontre informações detalhadas sobre a configuração da code scanning, incluindo os carimbos de data/hora de cada verificação e o percentual de arquivos verificados, na página de status da ferramenta. Para obter mais informações, confira "About the tool status page for code scanning".

Ao definir a configuração padrão, você poderá encontrar um erro. Para obter informações sobre como solucionar erros específicos, confira "Solucionar problemas da varredura de código".