Skip to main content

Avaliar a configuração padrão para verificação de código

Saiba como avaliar como a verificação de código está funcionando para você e como você pode personalizar sua configuração para melhor atender às suas necessidades de segurança de código.

Quem pode usar esse recurso?

Proprietários de repositórios, proprietários de organizações, gerentes de segurança e usuários com a função de administrador

Quando você começar a usar o code scanning, provavelmente usará a configuração padrão. Este guia descreve como avaliar como a configuração padrão para o code scanning está funcionando para você e quais etapas devem ser seguidas se algo não estiver funcionando conforme o esperado. Este guia também descreve como você poderá personalizar o code scanning se achar que tem um caso de uso específico que sua nova configuração não se encaixa.

Personalizar o code scanning

Ao configurar a instalação padrão pela primeira vez, ou após uma análise inicial do código, você poderá editar quais as configurações padrão de linguagem que serão analisadas e o conjunto de consultas que será executado durante a análise. O conjunto de consultas default contém um conjunto de consultas que são cuidadosamente projetadas para procurar os problemas de segurança mais relevantes, minimizando os resultados falsos positivos. No entanto, você pode usar o pacote security-extended para executar consultas adicionais, que têm precisão um pouco menor. Para saber mais sobre os pacotes de consultas disponíveis, confira Conjuntos de consultas CodeQL.

Para saber mais sobre como personalizar a configuração padrão, confira Editar as definições da configuração padrão.

Usar a configuração avançada

Se descobriu que ainda precisa de um controle mais granular sobre o code scanning, você pode usar a configuração avançada. A configuração avançada requer um esforço significativamente maior para configurar, personalizar e manter. Dessa forma, recomendamos habilitar a configuração padrão primeiro. Para saber mais sobre a configuração avançada, confira Como definir a configuração avançada para verificação de código e Personalizando a configuração avançada para varredura de código.

Avaliar o code scanning com a página de status da ferramenta

A página de status da ferramenta mostra informações úteis sobre todas as ferramentas da code scanning. Você pode usá-lo para investigar se ferramentas individuais estão funcionando para um repositório, quando os arquivos no repositório foram verificados pela primeira vez e mais recentemente e quando as próximas verificações são agendadas. Também é um ponto de partida útil para depurar problemas.

Usando página de status da ferramenta, você pode fazer download da lista de regras que o code scanning está verificando, no formato CSV. Para ferramentas integradas como o CodeQL, você também pode ver informações mais detalhadas, incluindo um percentual de arquivos verificados e mensagens de erro específicas.

Se você achar que a configuração padrão não verifica todos os arquivos, talvez seja necessário personalizar o code scanning. Para saber mais, confira Personalizar a verificação de código neste artigo. Como alternativa, ou se algo mais não estiver funcionando como você espera, nossa documentação de solução de problemas dedicada poderá ser útil. Para saber mais, confira Solucionar problemas da varredura de código.

Para obter informações detalhadas sobre a página de status da ferramenta, confira Sobre a página de status da ferramenta para a verificação de código.