Skip to main content

About CodeQL code scanning in your CI system

You can analyze your code with CodeQL in a third-party continuous integration system and upload the results to GitHub.com. The resulting code scanning alerts are shown alongside any alerts generated within GitHub Enterprise Cloud.

Code scanning is available for all public repositories on GitHub.com. To use code scanning in a private repository owned by an organization, you must have a license for GitHub Advanced Security. Para obter mais informações, confira "Sobre o GitHub Advanced Security".

About CodeQL code scanning in your CI system

Code scanning é um recurso que você usa para analisar o código em um repositório de GitHub para localizar vulnerabilidades de segurança e erros de codificação. Quaisquer problemas identificados pela análise são exibidos em GitHub Enterprise Cloud. For information, see "About code scanning with CodeQL."

Você pode executar CodeQL code scanning em GitHub Enterprise Cloud usando GitHub Actions. Como alternativa, se você usar um sistema de integração contínua ou um sistema de entrega/Continuous Delivery (CI/CD) de terceiros você poderá executar a análise CodeQL no seu sistema existente e enviar os resultados para GitHub.com.

Se você adicionar a CodeQL CLI ao seu sistema de terceiros, chame a ferramenta para analisar o código e carregar os resultados em SARIF no GitHub Enterprise Cloud. Os alertas de code scanning resultantes são exibidos junto com todos os alertas gerados dentro de GitHub Enterprise Cloud. Para obter mais informações, confira "Sobre a verificação de código do CodeQL no seu sistema de CI".

Se você executar a verificação de código usando várias configurações, às vezes, um alerta terá várias origens de análise. Se um alerta tiver várias origens de análise, você poderá ver o status do alerta para cada origem de análise na página de alertas. Para obter mais informações, confira "Sobre as origens da análise".

Observação: há suporte para o upload de dados SARIF a serem exibidos como resultados da code scanning no GitHub Enterprise Cloud nos repositórios pertencentes à organização com o GitHub Advanced Security habilitado e em repositórios públicos no GitHub.com. Para obter mais informações, confira "Como gerenciar as configurações de segurança e de análise do seu repositório".

About the CodeQL CLI

O CodeQL CLI é um produto inependente que você pode usar para analisar o código. Seu principal propósito é gerar uma representação do banco de dados de uma base de código, um banco de dados de CodeQL. Assim que o banco de dados estiver pronto, você poderá consultá-lo interativamente, ou executar um conjunto de consultas para gerar um conjunto de resultados no formato SARIF e fazer o upload dos resultados para GitHub.com.

Use the CodeQL CLI to analyze:

  • Dynamic languages, for example, JavaScript and Python.
  • Compiled languages, for example, C/C++, C# and Java.
  • Codebases written in a mixture of languages.

For more information, see "Installing CodeQL CLI in your CI system."

Notes:

  • The CodeQL CLI is free to use on public repositories that are maintained on GitHub.com, and available to use on private repositories that are owned by customers with an Advanced Security license. For information, see "GitHub Enterprise Cloud CodeQL Terms and Conditions" and "CodeQL CLI."
  • The CodeQL CLI is currently not compatible with non-glibc Linux distributions such as (musl-based) Alpine Linux.