Esta versão do GitHub Enterprise foi descontinuada em 2021-09-23. Nenhum lançamento de patch será feito, mesmo para questões críticas de segurança. Para obter melhor desempenho, melhorar a segurança e novos recursos, upgrade to the latest version of GitHub Enterprise. Para ajuda com a atualização, contact GitHub Enterprise support.

Configurar a varredura de código para o seu aparelho

Você pode habilitar, configurar e desativar Varredura de código para sua instância do GitHub Enterprise Server. Varredura de código permite aos usuários varrer códigos com relação a erros e vulnerabilidades.

Varredura de código está disponível se você tiver uma licença para Segurança Avançada GitHub.

Observação: Varredura de código está em beta em GitHub Enterprise Server 2.22. Para a versão geralmente disponível do varredura de código, atualize para a versão mais recente de GitHub Enterprise Server.

Sobre o Varredura de código

Varredura de código é um recurso que você usa para analisar o código em um repositório de GitHub para localizar vulnerabilidades de segurança e erros de codificação. Quaisquer problemas identificados pela análise são exibidos em GitHub Enterprise Server.

Você pode configurar Varredura de código para executar análise de CodeQL e análise de terceiros. Varredura de código também é compatível com a análise de execução nativa que utiliza GitHub Actions ou externamente que utiliza a infraestrutura de CI/CD existente. A tabela abaixo resume todas as opções disponíveis para os usuários quando você configurar sua instância do GitHub Enterprise Server para permitir que Varredura de código use ações.

Tipo de análise Opções para gerar alertas
| CodeQL | Usando GitHub Actions (consulte "[Configurar Varredura de código usando ações](/github/finding-security-vulnerabilities-and-errors-in-your-code/setting-up-code-scanning-for-a-repository#setting-up-code-scanning-using-actions)") ou usando o sistema Executor do CodeQL em uma integração contínua (CI) de terceiros (consulte "[Executando a digitalização de código CodeQL no seu sistema CI](/github/finding-security-vulnerabilities-and-errors-in-your-code/running-codeql-code-scanning-in-your-ci-system)"). | Terceiros‑ | Usando GitHub Actions (consulte "[Configurar Varredura de código usando ações](/github/finding-security-vulnerabilities-and-errors-in-your-code/setting-up-code-scanning-for-a-repository#setting-up-code-scanning-using-actions)") ou gerado externamente e enviado para GitHub Enterprise Server (consulte "[Fazer o upload de um arquivo SARIF para GitHub](/github/finding-security-vulnerabilities-and-errors-in-your-code/uploading-a-sarif-file-to-github)").├

Pré-requisitos para Varredura de código

Executar Varredura de código usando GitHub Actions

Configurar um executor auto-hospedado

GitHub Enterprise Server pode executar Varredura de código usando um fluxo de trabalho de GitHub Actions. Primeiro, você precisa fornecer um ou mais executores auto-hospedados de GitHub Actions em seu ambiente. É possível fornecer executores auto-hospedados no nível da conta do repositório, organização ou empresa. Para obter mais informações, consulte "Sobre executores auto-hospedados" e "Adicionar executores auto-hospedados".

Você deve garantir que o Git esteja na variável do PATH em qualquer executor auto-hospedados que você usar para executar ações de CodeQL.

Provisionando ações para Varredura de código

Para executar Varredura de código em GitHub Enterprise Server com GitHub Actions, as ações apropriadas devem estar disponíveis localmente. Você pode disponibilizar as ações de três maneiras.

  • Recomendado: Você pode usar GitHub Connect para fazer o download automático das ações no GitHub.com. A máquina que hospeda sua instância deve conseguir acessar GitHub.com. Esta abordagem garante que você irá obter o software mais recente automaticamente. Para obter mais informações, consulte "Configurar o GitHub Connect para sincronizar com GitHub Actions".
  • Se você desejar usar o Fluxo de trabalho de análise do CodeQL, você pode sincronizar o repositório do GitHub.com ao GitHub Enterprise Server, usando a ferramenta de sincronização de Ação do CodeQL disponível em https://github. om/github/codeql-action-sync-tool. Você pode usar essa ferramenta independentemente se sua instância do GitHub Enterprise Server ou seus executores de GitHub Actions terem acesso à internet, contanto que você possa acessar sua instância do GitHub Enterprise Server e GitHub.com simultaneamente no seu computador.
  • É possível criar uma cópia local do repositório de uma ação no servidor, clonando o repositório de GitHub.com que contém a ação. Por exemplo, se você quiser usar as ações para CodeQL Varredura de código, você poderá criar um repositório na sua instância denominado github/codeql-action. Em seguida, clone o repositório de GitHub.com depois faça push desse repositório no repositório github/codeql-action da instância. Você também deverá fazer o download de qualquer uma das versões do repositório no GitHub.com e fazer o upload no repositório github/codeql-action de sua instância como versões.

Configurar GitHub Connect para sincronizar GitHub Actions

  1. Se você deseja fazer o download dos fluxos de trabalho de ação sob demanda a partir de GitHub.com, você deverá habilitar o GitHub Connect. Para obter mais informações, consulte "Habilitar GitHub Connect".
  2. Você também precisa habilitar o GitHub Actions para sua instância do GitHub Enterprise Server. Para obter mais informações, consulte "Primeiros passos com GitHub Actions for GitHub Enterprise Server".
  3. A próxima etapa é configurar o acesso a ações no GitHub.com usando GitHub Connect. Para obter mais informações, consulte "Habilitar o acesso automático às ações de GitHub.com usando o GitHub Connect".
  4. Adicione um executor auto-hospedado ao seu repositório, organização ou conta corporativa. Para obter mais informações, consulte "Adicionando executores auto-hospedados".

Executar Varredura de código usando o Executor do CodeQL

Se você não quiser usar GitHub Actions, você poderá executar Varredura de código usando o Executor do CodeQL.

O Executor do CodeQL é uma ferramenta de linha de comando que você pode adicionar ao seu sistema CI/CD de terceiros. A ferramenta executa a análise do CodeQL em um checkout de um repositório do GitHub. Para obter mais informações, consulte "Executar o Varredura de código no seu sistema de CI".