Sobre a varredura de código

Você pode usar Varredura de código para encontrar vulnerabilidades e erros de segurança no código do seu projeto no GitHub.

Varredura de código está disponível se você tiver uma licença para Segurança Avançada GitHub.

Observação: Varredura de código está em beta em GitHub Enterprise Server 2.22. Para a versão geralmente disponível do varredura de código, atualize para a versão mais recente de GitHub Enterprise Server.

Observação: O administrador do site deve habilitar Varredura de código para sua instância do GitHub Enterprise Server antes de usar este recurso. Para obter mais informações, consulte "Configurar o Varredura de código para seu aplicativo ".

Sobre o Varredura de código

Varredura de código é um recurso que você usa para analisar o código em um repositório de GitHub para localizar vulnerabilidades de segurança e erros de codificação. Quaisquer problemas identificados pela análise são exibidos em GitHub Enterprise Server.

Você pode usar Varredura de código para encontrar, triar e priorizar correções de problemas existentes em seu código. Varredura de código também impede que os desenvolvedores apresentem novos problemas. É possível programar verificações para dias e horários específicos ou acionar varreduras quando ocorre um evento específico no repositório, como, por exemplo, um push.

Se Varredura de código encontrar uma vulnerabilidade potencial ou erro no seu código, GitHub exibirá um alerta no repositório. Depois de corrigir o código que desencadeou o alerta, GitHub fechará o alerta. Para obter mais informações, consulte "Gerenciar alertas de Varredura de código para o seu repositório".

Para monitorar os resultados de Varredura de código nos seus repositórios ou organização, você pode usar webhooks e a API de Varredura de código. Para obter informações sobre os webhooks para Varredura de código, consulte "Eventos de webhook e cargas". Para obter informações sobre os pontos de extremidade da API, consulte "Varredura de código".

Para começar com Varredura de código, consulte "Configurar Varredura de código para um repositório".

Sobre o CodeQL

Você pode visualizar e contribuir para as consultas do Varredura de código no repositório github/codeql. O CodeQL trata o código como dados, permitindo que você encontre possíveis vulnerabilidades em seu código com maior confiança do que os analisadores estáticos tradicionais.

QL é a linguagem de consulta que move CodeQL. QL é uma linguagem de programação lógica voltada para objetos. GitHub, especialistas em idiomas e pesquisadores de segurança criam as consultas usadas para Varredura de código e as consultas são de código aberto. A comunidade mantém e atualiza as consultas para melhorar a análise e reduzir falsos positivos. Para obter mais informações, consulte CodeQL no site do GitHub Security Lab.

Para obter mais informações sobre os pontos de extremidade da API para Varredura de código, consulte "Varredura de código".

  • C/C++
  • C#
  • Go
  • Java
  • JavaScript/TypeScript
  • Python

Você pode visualizar e contribuir para as consultas do Varredura de código no repositório github/codeql. Para obter mais informações, consulte CodeQL consultas na documentação do CodeQL.

Ferramentas de varredura de código de terceiros

Você pode carregar arquivos SARIF de ferramentas de análise estáticas de terceiros para o GitHub e ver Varredura de código alertas dessas ferramentas no seu repositório.

Varredura de código é interoperável com ferramentas de escaneamento de código de terceiros que saem dados de análise estática de resultados de mudança de formato (SARIF). SARIF é um padrão aberto. Para obter mais informações, consulte "SARIF output for Varredura de código."

Para começar, consulte "Uploading a SARIF file to GitHub."

Leia mais

Esse documento ajudou você?Política de Privacidade

Ajude-nos a tornar esses documentos ótimos!

Todos os documentos do GitHub são de código aberto. Você percebeu que algo que está errado ou não está claro? Envie um pull request.

Faça uma contribuição

Ou, aprenda como contribuir.