Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Sobre a varredura de código de CodeQL no seu sistema de CI

Você pode analisar o seu código com CodeQL em um sistema de integração contínua de terceiros e fazer o upload dos resultados para GitHub.com. Os alertas de Varredura de código resultantes são exibidos junto com todos os alertas gerados dentro de GitHub Enterprise Cloud.

Varredura de código is available for all public repositories, and for private repositories owned by organizations where Segurança Avançada GitHub is enabled. Para obter mais informações, consulte "Sobre Segurança Avançada GitHub".

Sobre CodeQL Varredura de código no seu sistema de CI

Varredura de código é um recurso que você usa para analisar o código em um repositório de GitHub para localizar vulnerabilidades de segurança e erros de codificação. Quaisquer problemas identificados pela análise são exibidos em GitHub Enterprise Cloud. Para obter informações, consulte "Sobre Varredura de código com CodeQL."

Você pode executar CodeQL Varredura de código em GitHub Enterprise Cloud usando GitHub Actions. Como alternativa, se você usar um sistema de integração contínua ou um sistema de entrega/Continuous Delivery (CI/CD) de terceiros você poderá executar a análise CodeQL no seu sistema existente e enviar os resultados para GitHub.com.

Se você adicionar CodeQL CLI ao seu sistema de terceiros, chame a ferramenta para analisar o código e fazer o upload dos resultados do SARIF para GitHub Enterprise Cloud. Os alertas de Varredura de código resultantes são exibidos junto com todos os alertas gerados dentro de GitHub Enterprise Cloud. Para obter mais informações, consulte "Sobre a verificação de código CodeQL no seu sistema de CI."

If you run code scanning using multiple configurations, then sometimes an alert will have multiple analysis origins. If an alert has multiple analysis origins, you can view the status of the alert for each analysis origin on the alert page. Para obter mais informações, consulteSobre as origens da análise".

Observação: Fazer o upload dos dados SARIF para exibir como resultados de Varredura de código em GitHub Enterprise Cloud é compatível com repositórios de organizações com Segurança Avançada GitHub habilitado, e repositórios públicos em GitHub.com. Para obter mais informações, consulte "Gerenciar configurações de segurança e análise do seu repositório".

Sobre o CodeQL CLI

O CodeQL CLI é um produto inependente que você pode usar para analisar o código. Seu principal propósito é gerar uma representação do banco de dados de uma base de código, um banco de dados de CodeQL. Assim que o banco de dados estiver pronto, você poderá consultá-lo interativamente, ou executar um conjunto de consultas para gerar um conjunto de resultados no formato SARIF e fazer o upload dos resultados para GitHub.com.

Use CodeQL CLI para analisar:

  • Linguagens dinâmicas, por exemplo, JavaScript e Python.
  • Linguagens compiladas, por exemplo, C/C++, C# e Java.
  • Bases de código em uma mistura de linguagens.

Para obter mais informações, consulte "Instalar CodeQL CLI no seu sistema de CI".

Note: The CodeQL CLI is free to use on public repositories that are maintained on GitHub.com, and available to use on private repositories that are owned by customers with an Segurança Avançada license. Para obter informações, consulte "GitHub Enterprise Cloud Termos e Condições de do CLI de CodeQL " e "CodeQL".