Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais atualizadas, acesse a documentação em inglês.
All products
Segurança do código

Como configurar a verificação de código em escala usando o CodeQL

Neste artigo

Você pode configurar a code scanning em repositórios qualificados em sua organização usando a configuração padrão no CodeQL ou usar um script para definir a configuração avançada em um grupo específico de repositórios.

A Code scanning está disponível para todos os repositórios públicos do GitHub.com. Para usar code scanning em um repositório privado pertencente a uma organização, você precisa ter um licença do GitHub Advanced Security. Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub".

Sobre a configuração da code scanning em vários repositórios

Há diversas maneiras de configurar a code scanning em vários repositórios ao mesmo tempo.

O melhor método a ser usado dependerá das necessidades de análise dos repositórios.

  1. Os repositórios são qualificados para configuração padrão do CodeQL e pertencem a uma organização.
  2. O grupo de repositórios tem necessidades de configuração semelhantes para uma configuração avançada do CodeQL.

Além disso, o GitHub Actions deve estar habilitado para o site da organização ou empresa.

Repositórios qualificados para a configuração padrão do CodeQL

Observação: a capacidade de habilitar e desabilitar a configuração padrão do code scanning em repositórios qualificados de uma organização está atualmente em versão beta e sujeita a alterações. Durante a versão beta, se você desabilitar CodeQL code scanning em todos os repositórios, essa alteração não será refletida nas informações de cobertura mostradas na visão geral de segurança da organização. Vai parecer que os repositórios continuam com o code scanning habilitado nessa exibição.

Use a visão geral de segurança para encontrar um conjunto de repositórios e habilitar ou desabilitar a configuração padrão da code scanning para todos eles ao mesmo tempo. Para obter mais informações, confira "Como habilitar recursos de segurança para vários repositórios".

Use também a página de configurações da organização em "Segurança e análise de código" para habilitar a code scanning em todos os repositórios da organização qualificados para a configuração padrão do CodeQL.

Critérios de qualificação para habilitação no nível da organização

Um repositório precisa atender a todos os critérios a seguir para ser qualificado para a configuração padrão, caso contrário, você precisará usar a configuração avançada.

  • A Code scanning ainda não habilitada.
  • As GitHub Actions devem estar habilitadas.
  • Usa Go, JavaScript/TypeScript, Python ou Ruby.
  • Não usar outras linguagens compatíveis com CodeQL, mas pode incluir outras linguagens, como R. Para obter mais informações sobre as linguagens com suporte do CodeQL, confira "Sobre a varredura de código com CodeQL".
  • Visível publicamente ou a GitHub Advanced Security estar habilitada.

Para mais informações sobre a configuração padrão, confira "Como configurar a verificação de código para um repositório". Para obter informações sobre como editar as configurações de segurança e análise de uma organização, confira "Gerenciando as configurações de segurança e de análise da sua organização".

Localizar repositórios qualificados para a configuração padrão

Use a exibição "Cobertura de segurança" na visão geral de segurança para mostrar os repositórios da sua organização qualificados para a configuração padrão.

  1. No GitHub.com, navegue até a página principal da organização. 1. No nome da organização, clique em Segurança do .

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia, rotulada com um ícone de escudo e "Segurança", tem um contorno laranja.

  2. Na barra lateral, clique em Cobertura para ver a exibição "Cobertura de segurança".

  3. Na barra de pesquisa, insira uma das seguintes consultas:

    • code-scanning-default-setup:eligible is:public mostra repositórios que têm linguagens adequadas para a configuração padrão e são qualificados porque são visíveis para o público.
    • code-scanning-default-setup:eligible advanced-security:enabled mostra repositórios privados ou internos que têm linguagens adequadas para a configuração padrão e são qualificados porque têm a GitHub Advanced Security habilitada.
    • code-scanning-default-setup:eligible is:private,internal advanced-security:not-enabled mostra repositórios privados ou internos que têm linguagens adequadas para a configuração padrão, mas não têm a GitHub Advanced Security habilitada. Depois de habilitar a GitHub Advanced Security para esses repositórios, eles também poderão ser adicionados à configuração padrão.
    • code-scanning-default-setup:not-eligible mostra repositórios que já têm a configuração avançada configurada ou cujas as linguagens não são adequadas para a configuração padrão.

Selecione todos os repositórios exibidos ou um subconjunto deles e habilite ou desabilite a configuração padrão da code scanning para todos eles ao mesmo tempo. Para obter mais informações, confira "Como habilitar recursos de segurança para vários repositórios".

Usar um script para definir a configuração avançada

Para repositórios que não estão qualificados para a configuração padrão, você pode usar um script de configuração em massa para definir a configuração avançada em vários repositórios.

  1. Identifique um grupo de repositórios que podem ser analisados usando a mesma configuração de code scanning. Por exemplo, todos os repositórios que criam artefatos Java usando o ambiente de produção.
  2. Crie e teste um fluxo de trabalho do GitHub Actions para chamar a ação do CodeQL com a configuração apropriada. Para obter mais informações, confira "Como configurar a verificação de código para um repositório".
  3. Use um dos scripts de exemplo para criar um script personalizado e adicionar o fluxo de trabalho a cada repositório no grupo.