Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Esta versão do GitHub Enterprise foi descontinuada em 2022-06-03. Nenhum lançamento de patch será feito, mesmo para questões críticas de segurança. Para obter melhor desempenho, melhorar a segurança e novos recursos, upgrade to the latest version of GitHub Enterprise. Para ajuda com a atualização, contact GitHub Enterprise support.

Sobre a varredura de código

Você pode usar Varredura de código para encontrar vulnerabilidades e erros de segurança no código do seu projeto no GitHub.

Varredura de código está disponível para repositórios de organizações onde Segurança Avançada GitHub está habilitado. Para obter mais informações, consulte "Sobre Segurança Avançada GitHub".

Observação: O administrador do site deve habilitar Varredura de código para your GitHub Enterprise Server instance antes de usar este recurso. Para obter mais informações, consulte "Configurar o Varredura de código para seu aplicativo ".

Sobre o Varredura de código

Varredura de código é um recurso que você usa para analisar o código em um repositório de GitHub para localizar vulnerabilidades de segurança e erros de codificação. Quaisquer problemas identificados pela análise são exibidos em GitHub Enterprise Server.

Você pode usar Varredura de código para encontrar, triar e priorizar correções de problemas existentes em seu código. Varredura de código também impede que os desenvolvedores apresentem novos problemas. É possível programar verificações para dias e horários específicos ou acionar varreduras quando ocorre um evento específico no repositório, como, por exemplo, um push.

Se Varredura de código encontrar uma vulnerabilidade potencial ou erro no seu código, GitHub exibirá um alerta no repositório. Depois de corrigir o código que desencadeou o alerta, GitHub fechará o alerta. Para obter mais informações, consulte "Gerenciar alertas de Varredura de código para o seu repositório".

Para monitorar os resultados de Varredura de código nos seus repositórios ou organização, você pode usar webhooks e a API de Varredura de código. Para obter informações sobre os webhooks para Varredura de código, consulte "Eventos de webhook e cargas". Para obter informações sobre os pontos de extremidade da API, consulte "Varredura de código".

Para começar com Varredura de código, consulte "Configurar Varredura de código para um repositório".

Sobre ferramentas para Varredura de código

Você pode configurar Varredura de código para usar o produto de CodeQL mantido por GitHub ou pela ferramenta Varredura de código de terceiros.

Sobre a análise de CodeQL

CodeQL é o mecanismo de análise de código desenvolvido por GitHub para automatizar verificações de segurança. Você pode analisar seu código usando CodeQL e exibir os resultados como alertas de Varredura de código. Para obter mais informações sobre CodeQL, consulte "Sobre digitalização de código com CodeQL".

Sobre ferramentas de Varredura de código de terceiros

Varredura de código é interoperável com ferramentas de escaneamento de código de terceiros que saem dados de análise estática de resultados de mudança de formato (SARIF). SARIF é um padrão aberto. Para obter mais informações, consulte "SARIF output for Varredura de código."

Você pode executar ferramentas de análise de terceiros em GitHub Enterprise Server usando ações ou em um sistema CI externo. Para mais informações consulte "Configurar a verificação de código para um repositório" ou "Enviar um arquivo SARIF para o GitHub".