Como definir a configuração padrão da verificação de código

Neste artigo

Você pode proteger rapidamente o código no seu repositório com a configuração padrão da code scanning.

Quem pode usar esse recurso

People with admin permissions to a repository, or the security manager role for the repository, can configure code scanning for that repository.

A Code scanning está disponível para todos os repositórios públicos do GitHub.com. Para usar code scanning em um repositório privado pertencente a uma organização, você precisa ter um licença do GitHub Advanced Security. Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub".

Sobre a configuração padrão

A configuração padrão da code scanning é a maneira mais rápida, mais fácil e de mais baixa manutenção de habilitar a code scanning para seu repositório. Com base no código do repositório, a configuração padrão criará automaticamente uma configuração personalizada da code scanning. Depois de ativar a configuração padrão, o código em seu repositório será verificado:

  • em cada push para o branch padrão do repositório ou qualquer branch protegido. Para obter mais informações sobre branches protegidos, consulte "Sobre branches protegidos".
  • ao criar ou se comprometer com uma solicitação de pull baseada no branch padrão do repositório ou em qualquer branch protegido.
  • em um agendamento semanal.

Observação: se não houver pushs solicitações de pull em um repositório com a configuração padrão habilitada por 6 meses, a programação semanal será desabilitada para economizar seus minutos de GitHub Actions.

Você pode habilitar a definição selecionada automaticamente da configuração padrão para começar a verificar seu código assim que possível ou personalizar aspectos da definição de acordo com suas necessidades da code scanning. Se você optar por personalizar a configuração por conta própria, selecione:

  • a configuração padrão de linguagens será analisada.
  • a configuração padrão do pacote de consultas será executada. Para obter mais informações, confira "Conjuntos de consultas internos do CodeQL".

Você também pode habilitar a configuração padrão de vários ou de todos os repositórios em uma organização ao mesmo tempo. Para obter informações sobre a habilitação em massa, confira "Como definir a configuração padrão da verificação de código em escala".

Caso você precise ter um controle mais granular sobre a configuração da code scanning, defina a configuração avançada. Para obter mais informações, confira "Como definir a configuração avançada da verificação de código".

Requisitos para usar a configuração padrão

Seu repositório está qualificado para a configuração padrão da code scanning se:

  • ele inclui, pelo menos, uma linguagem compatível com o CodeQL .
  • As GitHub Actions estão habilitadas.
  • estão publicamente visíveis, ou o GitHub Advanced Security está habilitado.

Use a configuração padrão se o repositório incluir linguagens não compatíveis com o CodeQL, como o R. Para obter mais informações sobre as linguagens compatíveis com o CodeQL, confira "Sobre a varredura de código com CodeQL".

Como definir a configuração padrão de um repositório

Quando você configura inicialmente a configuração padrão para code scanning para um repositório, todas as linguagens com suporte em CodeQL no repositório serão analisados automaticamente. As linguagens analisadas com êxito serão mantidas na nova definição de configuração padrão. As linguagens que não forem analisadas com êxito serão automaticamente desmarcadas da definição de configuração padrão.

Nota: pelo menos uma análise de linguagem com suporte em CodeQL em um repositório deve ser bem-sucedida, caso contrário, a configuração padrão não será habilitada com êxito nesse repositório.

  1. No GitHub.com, navegue até a página principal do repositório.

    Nota: se você estiver definindo uma configuração padrão em um fork, primeiro habilite GitHub Actions. Para habilitar GitHub Actions, no nome do repositório, clique em Ações e depois em Entendi meus fluxos de trabalho. Vá em frente e habilite-os. Lembre-se de que isso habilitará todos os fluxos de trabalho no fork.

  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.

  4. Na seção "Code scanning", selecione Configurar e clique em Padrão.

    Captura de tela da seção do "Code scanning" das configurações de "Segurança e análise de código". O botão "Configuração padrão" é realçado com um contorno laranja.

    Em seguida, você verá uma caixa de diálogo "configuração padrão do CodeQL" resumindo a configuração da code scanning criada automaticamente pela configuração padrão.

    1. Opcionalmente, na seção "Conjuntos de consultas" da caixa de diálogo modal "Configuração padrão do CodeQL", selecione o menu suspenso Padrão e clique no conjunto de consultas CodeQL que você gostaria de usar.

    Captura de tela da janela modal da configuração padrão. Um botão com o rótulo "Padrão", com uma seta indicando um menu suspenso, está contornado em laranja escuro.

    Se você escolher o pacote de consultas Estendidas, sua configuração do code scanning executará consultas de severidade e precisão mais baixas, além das consultas incluídas no conjunto de consultas Padrão. Para obter mais informações sobre os pacotes de consultas disponíveis, confira "Conjuntos de consultas internos do CodeQL".

    Nota: Se você configurar code scanning para usar o pacote de consultas estendidas, poderá ter uma taxa mais alta de alertas de falsos positivos.

  5. Revise as definições da configuração padrão no repositório e clique em Habilitar o CodeQL . Isso acionará um fluxo de trabalho que testa a nova configuração gerada automaticamente.

    Observação: se você estiver mudando da configuração padrão para a configuração avançada, verá um aviso informando que a configuração padrão substituirá as configurações existentes da code scanning. Esse aviso indica que a configuração padrão desabilitará o arquivo de fluxo de trabalho existente e bloqueará os uploads da API de análise do CodeQL.

  6. Opcionalmente, para ver a configuração padrão após a habilitação, selecione e clique em Exibir configuração do CodeQL .

Próximas etapas

Depois de definir a configuração padrão da code scanning e ela for executada com sucesso, pelo menos, uma vez, você poderá começar a verificar e resolver os alertas da code scanning. Para obter mais informações sobre os alertas da code scanning, confira "Sobre alertas de digitalização de códigos" e "Gerenciamento de alertas de varredura de código para seu repositório".

Encontre informações detalhadas sobre a configuração da code scanning, incluindo os carimbos de data/hora de cada verificação e o percentual de arquivos verificados, na página de status da ferramenta. Para obter mais informações, confira "Sobre a página de status da ferramenta para a verificação de código".

Ao definir a configuração padrão, você poderá encontrar um erro. Para obter informações sobre como solucionar erros específicos, confira "Solucionar problemas da varredura de código".