Sobre a configuração padrão
A configuração padrão da code scanning é a maneira mais rápida, mais fácil e de mais baixa manutenção de habilitar a code scanning para seu repositório. Com base no código do repositório, a configuração padrão criará automaticamente uma configuração personalizada da code scanning. Depois de ativar a configuração padrão, o código em seu repositório será verificado:
- em cada push para o branch padrão do repositório ou qualquer branch protegido. Para obter mais informações sobre branches protegidos, consulte "Sobre branches protegidos".
- ao criar ou se comprometer com uma solicitação de pull baseada no branch padrão do repositório ou em qualquer branch protegido.
- em um agendamento semanal.
Observação: se não houver pushs solicitações de pull em um repositório com a configuração padrão habilitada por 6 meses, a programação semanal será desabilitada para economizar seus minutos de GitHub Actions.
Você pode habilitar a definição selecionada automaticamente da configuração padrão para começar a verificar seu código assim que possível ou personalizar aspectos da definição de acordo com suas necessidades da code scanning. Se você optar por personalizar a configuração por conta própria, selecione:
- a configuração padrão de linguagens será analisada.
- a configuração padrão do pacote de consultas será executada. Para obter mais informações, confira "Conjuntos de consultas internos do CodeQL".
Você também pode habilitar a configuração padrão de vários ou de todos os repositórios em uma organização ao mesmo tempo. Para obter informações sobre a habilitação em massa, confira "Como definir a configuração padrão da verificação de código em escala".
Caso você precise ter um controle mais granular sobre a configuração da code scanning, defina a configuração avançada. Para obter mais informações, confira "Como definir a configuração avançada da verificação de código".
Requisitos para usar a configuração padrão
Seu repositório está qualificado para a configuração padrão da code scanning se:
- ele inclui, pelo menos, uma linguagem compatível com o CodeQL .
- As GitHub Actions estão habilitadas.
- estão publicamente visíveis, ou o GitHub Advanced Security está habilitado.
Use a configuração padrão se o repositório incluir linguagens não compatíveis com o CodeQL, como o R. Para obter mais informações sobre as linguagens compatíveis com o CodeQL, confira "Sobre a varredura de código com CodeQL".
Como definir a configuração padrão de um repositório
Quando você configura inicialmente a configuração padrão para code scanning para um repositório, todas as linguagens com suporte em CodeQL no repositório serão analisados automaticamente. As linguagens analisadas com êxito serão mantidas na nova definição de configuração padrão. As linguagens que não forem analisadas com êxito serão automaticamente desmarcadas da definição de configuração padrão.
Nota: pelo menos uma análise de linguagem com suporte em CodeQL em um repositório deve ser bem-sucedida, caso contrário, a configuração padrão não será habilitada com êxito nesse repositório.
-
No GitHub.com, navegue até a página principal do repositório.
Nota: se você estiver definindo uma configuração padrão em um fork, primeiro habilite GitHub Actions. Para habilitar GitHub Actions, no nome do repositório, clique em Ações e depois em Entendi meus fluxos de trabalho. Vá em frente e habilite-os. Lembre-se de que isso habilitará todos os fluxos de trabalho no fork.
-
Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.
-
Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.
-
Na seção "Code scanning", selecione Configurar e clique em Padrão.
Em seguida, você verá uma caixa de diálogo "configuração padrão do CodeQL" resumindo a configuração da code scanning criada automaticamente pela configuração padrão.
- Opcionalmente, na seção "Conjuntos de consultas" da caixa de diálogo modal "Configuração padrão do CodeQL", selecione o menu suspenso Padrão e clique no conjunto de consultas CodeQL que você gostaria de usar.
Se você escolher o pacote de consultas Estendidas, sua configuração do code scanning executará consultas de severidade e precisão mais baixas, além das consultas incluídas no conjunto de consultas Padrão. Para obter mais informações sobre os pacotes de consultas disponíveis, confira "Conjuntos de consultas internos do CodeQL".
Nota: Se você configurar code scanning para usar o pacote de consultas estendidas, poderá ter uma taxa mais alta de alertas de falsos positivos.
-
Revise as definições da configuração padrão no repositório e clique em Habilitar o CodeQL . Isso acionará um fluxo de trabalho que testa a nova configuração gerada automaticamente.
Observação: se você estiver mudando da configuração padrão para a configuração avançada, verá um aviso informando que a configuração padrão substituirá as configurações existentes da code scanning. Esse aviso indica que a configuração padrão desabilitará o arquivo de fluxo de trabalho existente e bloqueará os uploads da API de análise do CodeQL.
-
Opcionalmente, para ver a configuração padrão após a habilitação, selecione e clique em Exibir configuração do CodeQL .
Próximas etapas
Depois de definir a configuração padrão da code scanning e ela for executada com sucesso, pelo menos, uma vez, você poderá começar a verificar e resolver os alertas da code scanning. Para obter mais informações sobre os alertas da code scanning, confira "Sobre alertas de digitalização de códigos" e "Gerenciamento de alertas de varredura de código para seu repositório".
Encontre informações detalhadas sobre a configuração da code scanning, incluindo os carimbos de data/hora de cada verificação e o percentual de arquivos verificados, na página de status da ferramenta. Para obter mais informações, confira "Sobre a página de status da ferramenta para a verificação de código".
Ao definir a configuração padrão, você poderá encontrar um erro. Para obter informações sobre como solucionar erros específicos, confira "Solucionar problemas da varredura de código".