Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais atualizadas, acesse a documentação em inglês.
All products
Segurança do código

Sobre alertas de digitalização de códigos

Neste artigo

Aprenda os diferentes tipos de alertas de varredura de códigos e as informações que ajuda você a entender o problema nos destaques de cada alerta.

A Code scanning está disponível para todos os repositórios públicos do GitHub.com. Para usar code scanning em um repositório privado pertencente a uma organização, você precisa ter um licença do GitHub Advanced Security. Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub".

Sobre os alertas de code scanning

Você pode configurar code scanning para verificar o código em um repositório usando a análise-padrão de CodeQL, uma análise de terceiros ou vários tipos de análise. Quando a análise for concluída, os alertas resultantes serão exibidos lado a lado na visualização de segurança do repositório. Os resultados de ferramentas de terceiros ou de consultas personalizadas podem não incluir todas as propriedades que você vê para alertas detectados pela análise-padrão CodeQL de GitHub. Para obter mais informações, confira "Como configurar a verificação de código para um repositório".

Por padrão, code scanning analisa seu código periodicamente no branch-padrão e durante os pull requests. Para saber mais sobre como gerenciar alertas em uma solicitação de pull, confira "Alertas de varredura de código de triagem em pull requests".

Você pode auditar as ações executadas em resposta aos alertas do code scanning usando as ferramentas do GitHub. Para obter mais informações, confira "Alertas de segurança de auditoria".

Sobre os detalhes do alerta

Cada alerta destaca um problema com o código e o nome da ferramenta que o identificou. Você pode ver a linha de código que acionou o alerta, bem como propriedades do alerta, por exemplo, a gravidade do alerta, a gravidade da segurança e a natureza do problema. Os alertas também informam quando o problema foi introduzido pela primeira vez. Para os alertas identificados pela análise do CodeQL , você também verá informações sobre como corrigir o problema.

O status e os detalhes na página de alerta refletem apenas o estado do alerta no branch padrão do repositório, mesmo que o alerta exista em outros branches. Você pode ver o status do alerta em branches não padrão na seção Branches afetados no lado direito da página de alerta. Se um alerta não existir no branch padrão, o status do alerta será exibido como "na solicitação de pull" ou "no branch" e será cinza.

Captura de tela que mostra os elementos de um alerta da code scanning, incluindo o título do alerta e as linhas relevantes de código à esquerda e o nível de gravidade, os branches afetados e os pontos fracos à direita.

Se você configurar code scanning usando CodeQL, também poderá encontrar problemas no fluxo de dados no seu código. A análise do fluxo de dados encontra potenciais problemas de segurança no código, tais como: usar dados de forma insegura, passar argumentos perigosos para funções e vazar informações confidenciais.

Quando code scanning relata alertas de fluxo de dados, GitHub mostra como os dados se movem através do código. A Code scanning permite que você identifique as áreas do seu código que vazam informações confidenciais e que poderiam ser o ponto de entrada para ataques de usuários maliciosos.

Sobre os níveis de gravidade

Os níveis de severidade do alerta podem ser Error, Warning e Note.

Se a code scanning estiver habilitada como uma verificação de solicitação de pull, a verificação falhará se detectar algum resultado com a severidade error. Você pode especificar o nível de gravidade dos alertas da verificação de código que causa uma falha de verificação. Para obter mais informações, confira "Como personalizar a verificação de código".

Sobre níveis de gravidade de segurança

A Code scanning exibe níveis de gravidade de segurança para os alertas gerados pelas consultas de segurança. Os níveis de severidade de segurança podem ser Critical, High, Medium ou Low.

Para calcular a gravidade da segurança de um alerta, usamos dados de Pontuação do Sistema de Vulnerabilidade Comum (CVSS). O CVSS é uma estrutura aberta para comunicar as características e gravidade das vulnerabilidades de software, e é comumente usado por outros produtos de segurança para pontuar alertas. Para obter mais informações sobre como os níveis de severidade são calculados, confira esta postagem no blog.

Por padrão, os resultados da code scanning com a severidade de segurança Critical ou High causará uma falha de verificação. Você pode especificar qual nível de gravidade de segurança para resultados de code scanning causarão uma falha de verificação. Para obter mais informações, confira "Como personalizar a verificação de código".

Sobre alertas de várias configurações

Você pode executar várias configurações de análise de código em um repositório usando diferentes ferramentas e tendo como destino diferentes linguagens ou áreas do código. Cada configuração do code scanning gera um conjunto exclusivo de alertas. Por exemplo, um alerta gerado usando a análise padrão do CodeQL com o GitHub Actions vem de uma configuração diferente de um alerta gerado externamente e carregado por meio da API do code scanning.

Se você usar várias configurações para analisar um arquivo, os problemas detectados pela mesma consulta serão relatados como gerados por várias configurações. Se houver um alerta em mais de uma configuração, o número de configurações aparecerá ao lado do nome do branch na seção "Branches afetados" no lado direito da página de alertas. Para ver as configurações de um alerta, na seção "Branches afetados", clique em um branch. Uma caixa de diálogo modal "Configurações analisando" aparecerá com os nomes de cada configuração que está gerando o alerta para o respectivo branch. Abaixo de cada configuração, você poderá ver quando o alerta dessa configuração foi atualizado pela última vez.

Um alerta pode exibir status diferentes de configurações diferentes. Para atualizar os status do alerta, execute novamente cada configuração desatualizada. Como alternativa, você pode excluir configurações obsoletas de um branch para remover alertas desatualizados. Para obter mais informações sobre como excluir configurações e alertas obsoletos, consulte "Gerenciamento de alertas de varredura de código para seu repositório".

Sobre etiquetas para alertas não encontrados no código do aplicativo

GitHub Enterprise Cloud atribui uma etiqueta de categoria para alertas que não são encontrados no código do aplicativo. A etiqueta está relacionado à localização do alerta.

  • Gerado: código gerado pelo processo de build
  • Teste: código de teste
  • Biblioteca: biblioteca ou código de terceiros
  • Documentação: documentação

A Code scanning categoriza os arquivos por caminho do arquivo. Você não pode categorizar manualmente os arquivos de origem.

Neste exemplo, um alerta é marcado como um código em "Teste" na lista de alertas da code scanning.

Captura de tela de um alerta na lista da code scanning. À direita do título, um rótulo "Teste" está realçado com um contorno laranja escuro.

Ao clicar no link para ver os detalhes do alerta, você poderá ver que o caminho do arquivo está marcado como código de "Teste".

Captura de tela que mostra os detalhes de um alerta. O caminho do arquivo e o rótulo "Teste" estão realçados com um contorno laranja escuro.

Sobre alertas experimentais

Observação: os alertas experimentais da code scanning são criados por meio da tecnologia experimental na ação do CodeQL. No momento, esse recurso está disponível como uma versão beta para o código JavaScript e está sujeito a alterações.

Em repositórios que executam code scanning que usam a ação de CodeQL, você pode ver alguns alertas que estão marcados como experimentais. Esses são os alertas que foram encontrados usando um modelo de aprendizado de máquina para estender os recursos de uma consulta existente CodeQL.

Captura de tela que mostra um alerta da code scanning. Um rótulo "Experimental" é exibido à direita do título, que é acrescentado com "(experimental)".

Benefícios de usar modelos de aprendizado de máquina para estender consultas

As consultas que usam modelos de aprendizado de máquina são capazes de encontrar vulnerabilidades no código que foi escrito usando estruturas e bibliotecas que o autor de consulta original não incluiu.

Cada uma das consultas de segurança para CodeQL identifica o código que está vulnerável a um tipo específico de ataque. Os pesquisadores de segurança escrevem as perguntas e incluem as bibliotecas e estruturas mais comuns. Por isso, cada consulta existente encontra utilizações vulneráveis de estruturas e bibliotecas comuns. No entanto, os desenvolvedores utilizam várias estruturas e bibliotecas diferentes, e uma consulta mantida manualmente não pode incluir todas elas. Consequentemente, as consultas mantidas manualmente não proporcionam cobertura a todos os quadros e bibliotecas.

CodeQL usa um modelo de aprendizado de máquina para estender uma consulta de segurança existente a fim de cobrir uma gama mais ampla de estruturas e bibliotecas. O modelo de aprendizado de máquina é treinado para detectar problemas no código que nunca foi visto antes. As perguntas que utilizam o modelo encontrarão resultados para quadros e bibliotecas que não estão descritas na consulta original.

Alertas identificados que usam aprendizado de máquina

Os alertas encontrados que usam um modelo de machine learning são exibidos com uma faixa "Alertas experimentais" para mostrar que a tecnologia está em desenvolvimento ativo. Esses alertas têm uma taxa mais alta de resultados falsospositivo do que as consultas em que se baseiam. O modelo de aprendizado de máquina melhorará com base nas ações do usuário como, por exemplo, marcar um resultado ruim como um falso-positivo ou a resolução de um bom resultado.

Habilitando alertas experimentais

O conjunto de consultas padrão de CodeQL não inclui nenhuma consulta que use o aprendizado de máquina para gerar alertas experimentais. Para executar consultas de aprendizado de máquina durante code scanning, você precisa executar as consultas adicionais contidas em um dos seguintes conjuntos de consulta.

Conjunto de consultasDescrição
security-extendedConsultas do pacote padrão, além de consultas de gravidade e precisão inferiores
security-and-qualityConsultas de security-extended, além de consultas de capacidade de manutenção e confiabilidade

Quando você atualizar seu fluxo de trabalho para executar um conjunto de consultas adicional, isso aumentará o tempo de análise.

- uses: github/codeql-action/init@v2
  with:
    # Run extended queries including queries using machine learning
    queries: security-extended

Para obter mais informações, confira "Como personalizar a verificação de código".

Desabilitando alertas experimentais

A maneira mais simples de desabilitar consultas que usam o machine learning para gerar alertas experimentais é interromper a execução do conjunto de consultas security-extended ou security-and-quality. No exemplo acima, você removerá o comentário da linha queries. Caso você precise continuar executando o pacote security-extended ou security-and-quality e as consultas de machine learning estão causando problemas, abra um tíquete com o suporte do GitHub com os detalhes a seguir.

  • Título do tíquete: "code scanning: remoção dos alertas experimentais beta"
  • Especifique os detalhes dos repositórios ou organizações afetados
  • Solicite um encaminhamento para a equipe de engenharia