Observação: o administrador do site precisa habilitar code scanning antes que você possa usar esse recurso. Para obter mais informações, confira "Como configurar a verificação de código do seu dispositivo".
Talvez você não consiga habilitar ou desabilitar o code scanning se um proprietário da empresa tiver definido uma política GitHub Advanced Security (GHAS) no nível da empresa. Para obter mais informações, confira "Como impor políticas para segurança e análise de código na empresa".
Sobre o uso do code scanning com seu sistema de CI existente
Como alternativa à execução do code scanning no GitHub usando GitHub Actions, você pode analisar o código em um sistema externo de integração contínua ou de entrega/implantação contínua (CI/CD) e, em seguida, carregar os resultados no GitHub Enterprise Server.
Você pode adicionar a CodeQL CLI ao seu sistema de terceiros ou usar outra ferramenta de análise estática de terceiros que possa produzir resultados como dados SARIF (Static Analysis Results Interchange Format) 2.1.0. Para obter mais informações sobre o formato SARIF compatível, consulte "Suporte SARIF para a varredura de código".
A CodeQL CLI é uma ferramenta de linha de comando autônoma que você pode usar para analisar o código. Para obter mais informações, confira "Sobre a CLI do CodeQL".
Os alertas para o code scanning gerados externamente são exibidos da mesma forma que os alertas para o code scanning que gerados dentro do GitHub. Se você executar a verificação de código usando várias configurações, ocasionalmente o mesmo alerta será gerado por mais de uma configuração. Se um alerta for proveniente de várias configurações, você poderá exibir o status do alerta de cada configuração na página de alertas. Para obter mais informações, confira "Sobre alertas de digitalização de códigos".
Observação: há suporte para o upload de dados SARIF a serem exibidos como resultados da code scanning no GitHub Enterprise Server nos repositórios pertencentes à organização com o GitHub Advanced Security habilitado. Para obter mais informações, confira "Gerenciando as configurações de segurança e análise do repositório".
Configurando sua ferramenta de análise
Primeiro, você precisará baixar a ferramenta de análise de sua preferência e configurá-la com seu sistema de CI.
Se estiver usando a CodeQL CLI, você precisará disponibilizar todo o conteúdo do pacote da CodeQL CLI para cada servidor de CI no qual deseja executar análises do CodeQL code scanning. Para obter mais informações, confira "Como configurar a CLI do CodeQL".
Depois de disponibilizar sua ferramenta de análise para os servidores em seu sistema de CI, você estará pronto para gerar dados.
Como analisar o código
Para analisar o código com a CodeQL CLI ou outra ferramenta de análise, você deverá verificar o código que deseja analisar e configurar o ambiente da base de código, certificando-se de que todas as dependências estejam disponíveis. Talvez você também queira encontrar o comando de compilação para a base de código, normalmente disponível no arquivo de configuração do seu sistema de CI.
Em seguida, você pode concluir as etapas para analisar sua base de código e produzir resultados, que serão diferentes de acordo com a ferramenta de análise estática que estiver usando.
Se estiver usando a CodeQL CLI, primeiro será necessário criar um banco de dados do CodeQL a partir do seu código e, em seguida, analisar esse banco de dados para produzir resultados SARIF. Para obter mais informações, confira "Como preparar seu código para a análise do CodeQL" e "Como analisar o código com as consultas CodeQL."
Gerando um token para autenticação com GitHub Enterprise Server
Cada servidor de CI precisa de um GitHub App ou personal access token para carregar os resultados no GitHub Enterprise Server, independentemente de você estar usando a CodeQL CLI, a API REST ou outro método. Você precisa usar um token de acesso ou um GitHub App com a permissão de gravação security_events
. Se os servidores de CI já usarem um token com esse escopo para fazer check-out de repositórios do GitHub Enterprise Server, você poderá usar o mesmo token. Caso contrário, crie um token com a permissão de gravação security_events
e adicione-o ao repositório de segredos do sistema de CI. Para obter informações, confira "Sobre a criação de Aplicativos do GitHub" e "Gerenciar seus tokens de acesso pessoal".
Para obter mais informações sobre os diferentes métodos de upload de resultados no GitHub Enterprise Server, consulte "Fazer o upload de arquivo SARIF para o GitHub".
Carregando seus resultados no GitHub Enterprise Server
Depois de analisar seu código, produzir resultados SARIF e garantir que você possa se autenticar no GitHub Enterprise Server, é possível carregar os resultados no GitHub Enterprise Server. Para obter mais informações sobre os diferentes métodos que você pode usar para carregar seus resultados, consulte "Fazer o upload de arquivo SARIF para o GitHub".
Para obter detalhes específicos sobre o upload dos seus resultados no GitHub Enterprise Server usando a CodeQL CLI, consulte "Como carregar os resultados da análise do CodeQL no GitHub".
Por padrão, code scanning espera um arquivo de resultados SARIF por análise de um repositório. Consequentemente, quando se faz o upload de um segundo arquivo SARIF para um compromisso, ele é tratado como uma substituição do conjunto original de dados. Uma sugestão é carregar dois arquivos SARIF diferentes para uma análise quando, por exemplo, sua ferramenta de análise gera um arquivo SARIF diferente para cada linguagem analisada ou para cada conjunto de regras usado. Se quiser carregar mais de um conjunto de resultados para um commit em um repositório, você deverá identificar cada conjunto de resultados como um conjunto exclusivo. A maneira de especificar uma categoria para um upload de SARIF varia de acordo com o método de análise. Para obter mais informações, confira "Suporte SARIF para a varredura de código".