Sobre a varredura de código de CodeQL no seu sistema de CI

Você pode analisar o seu código com CodeQL em um sistema de integração contínua de terceiros e fazer o upload dos resultados para GitHub. Os alertas de Varredura de código resultantes são exibidos junto com todos os alertas gerados dentro de GitHub.

Varredura de código is available for all public repositories, and for private repositories owned by organizations where Segurança Avançada GitHub is enabled. Para obter mais informações, consulte "Sobre Segurança Avançada GitHub".

Sobre CodeQL Varredura de código no seu sistema de CI

Varredura de código é um recurso que você usa para analisar o código em um repositório de GitHub para localizar vulnerabilidades de segurança e erros de codificação. Quaisquer problemas identificados pela análise são exibidos em GitHub. Para obter informações, consulte "Sobre Varredura de código.

Você pode executar CodeQL Varredura de código dentro de GitHub usando ações. Como alternativa, se você usar um sistema de integração contínua ou um sistema de entrega/Continuous Delivery (CI/CD) de terceiros você poderá executar a análise CodeQL no seu sistema existente e enviar os resultados para GitHub.

Se você adicionar CodeQL CLI ou Executor do CodeQL ao seu sistema de terceiros, chame a ferramenta para analisar o código e fazer o upload dos resultados SARIF para GitHub. Os alertas de Varredura de código resultantes são exibidos junto com todos os alertas gerados dentro de GitHub.

Note: Uploading SARIF data to display as Varredura de código results in GitHub is supported for organization-owned repositories with Segurança Avançada GitHub enabled, and public repositories on GitHub.com. Para obter mais informações, consulte "Gerenciar configurações de segurança e análise do seu repositório".

Comparar CodeQL CLI e Executor do CodeQL

The CodeQL CLI is a standalone product that you can use to analyze code. Its main purpose is to generate a database representation of a codebase, a CodeQL database. Once the database is ready, you can query it interactively, or run a suite of queries to generate a set of results in SARIF format and upload the results to GitHub.

A Executor do CodeQL é uma ferramenta de linha de comando que utiliza o CodeQL CLI para analisar o código e fazer o upload dos resultados para GitHub. A ferramenta imita a análise executada nativamente dentro de GitHub usando ações. O executor é capaz de integrar-se a ambientes de compilação mais complexos do que o CLI, mas esta capacidade torna mais difícil e suscetível de erros de configuração. É também mais difícil depurar quaisquer problemas. De modo geral, é melhor usar CodeQL CLI diretamente a menos que não seja compatível com o seu caso de uso.

Use CodeQL CLI para analisar:

  • Linguagens dinâmicas, por exemplo, JavaScript e Python.
  • Bases de código com uma linguagem compilada que pode ser construída com um único comando ou executando um único script.

Para obter mais informações, consulte "Executar o CodeQL CLI no seu sistema de CI".

Se você precisar configurar o sistema de CI para orquestrar as invocações do compilador, bem como executar a análise de CodeQL, você deverá usar Executor do CodeQL.

Observação: Os Executor do CodeQL está atualmente em fase beta e sujeito a alterações.

Para obter mais informações, consulte "Executar o Executor do CodeQL no seu sistema de CI".

Esse documento ajudou você?Política de Privacidade

Ajude-nos a tornar esses documentos ótimos!

Todos os documentos do GitHub são de código aberto. Você percebeu que algo que está errado ou não está claro? Envie um pull request.

Faça uma contribuição

Ou, aprenda como contribuir.