Avaliar a configuração padrão para verificação de código

Saiba como avaliar como a verificação de código está funcionando para você e como você pode personalizar sua configuração para melhor atender às suas necessidades de segurança de código.

Quem pode usar esse recurso?

A Code scanning está disponível para todos os repositórios públicos do GitHub.com. Para usar code scanning em um repositório privado pertencente a uma organização, você precisa ter um licença do GitHub Advanced Security. Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub".

Neste artigo

Sobre a avaliação de uma nova configuração do code scanning

Quando você começar a usar o code scanning, provavelmente usará a configuração padrão. Este guia descreve como avaliar como a configuração padrão para o code scanning está funcionando para você e quais etapas devem ser seguidas se algo não estiver funcionando conforme o esperado. Este guia também descreve como você poderá personalizar o code scanning se achar que tem um caso de uso específico que sua nova configuração não se encaixa.

Personalizar o code scanning

Ao configurar a instalação padrão pela primeira vez, ou após uma análise inicial do código, você pode editar quais idiomas a instalação padrão analisará e o conjunto de consultas será executado durante a análise. O conjunto de consultas default contém um conjunto de consultas que são cuidadosamente projetadas para procurar os problemas de segurança mais relevantes, minimizando os resultados falsos positivos. No entanto, você pode usar o pacote security-extended para executar consultas adicionais, que têm precisão um pouco menor. Para obter mais informações sobre os pacotes de consultas disponíveis, confira "Conjuntos de consultas CodeQL".

Para obter mais informações sobre como personalizar a configuração padrão, confira "Editar as definições da configuração padrão".

Usar a configuração avançada

Se descobriu que ainda precisa de um controle mais granular sobre o code scanning, você pode usar a configuração avançada. A configuração avançada requer um esforço significativamente maior para configurar, personalizar e manter. Dessa forma, recomendamos habilitar a configuração padrão primeiro. Para obter mais informações sobre a configuração avançada, confira "Como definir a configuração avançada da verificação de código" e "Como personalizar sua configuração avançada para a verificação de código".

Avaliar o code scanning com a página de status da ferramenta

A página de status da ferramenta mostra informações úteis sobre todas as ferramentas da code scanning. Você pode usá-lo para investigar se ferramentas individuais estão funcionando para um repositório, quando os arquivos no repositório foram verificados pela primeira vez e mais recentemente e quando as próximas verificações são agendadas. Também é um ponto de partida útil para depurar problemas.

Usando página de status da ferramenta, você pode fazer download da lista de regras que o code scanning está verificando, no formato CSV. Para ferramentas integradas como o CodeQL, você também pode ver informações mais detalhadas, incluindo um percentual de arquivos verificados e mensagens de erro específicas.

Se você achar que a configuração padrão não verifica todos os arquivos, talvez seja necessário personalizar o code scanning. Para obter mais informações, consulte "Personalizar a verificação de código" neste artigo. Como alternativa, ou se algo mais não estiver funcionando como você espera, nossa documentação de solução de problemas dedicada poderá ser útil. Para obter mais informações, confira "Solucionar problemas da varredura de código".

Para obter informações detalhadas sobre a página de status da ferramenta, consulte "Sobre a página de status da ferramenta para a verificação de código."