Sobre a edição das definições da configuração padrão
Depois de executar uma análise inicial do código com a configuração padrão, talvez seja necessário fazer alterações na configuração para atender melhor às necessidades de segurança do código. Para configurações existentes da instalação padrão, você pode editar:
- Quais linguagens a configuração padrão analisará
- O conjunto de consultas é executado durante a análise. Para obter mais informações sobre os conjuntos de consultas disponíveis, consulte “Conjuntos de consultas CodeQL”.
Se sua base de código depender de uma biblioteca ou estrutura que não seja reconhecida pelas bibliotecas padrão incluídas com o CodeQL, você também poderá estender a cobertura do CodeQL na configuração padrão usando pacotes de modelos do CodeQL. Para obter mais informações, consulte "Estendendo a cobertura do CodeQL com pacotes de modelos do CodeQL na configuração padrão".
Se você precisar alterar quaisquer outros aspectos da configuração code scanning, considere configurar a instalação avançada. Para obter mais informações, confira "Como definir a configuração avançada da verificação de código".
Personalizar a definição existente da configuração padrão
-
No sua instância do GitHub Enterprise Server, navegue até a página principal do repositório.
-
Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.
-
Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.
-
Na linha "análise de CodeQL" da seção do "Code scanning", selecione , em seguida clique em Exibir configuração do CodeQL.
-
Na janela de configuração padrão do "CodeQL", clique em Editar.
-
Opcionalmente, na seção "Linguagens", selecione ou desmarque as linguagens para análise.
-
Opcionalmente, na linha “Conjunto de consultas” da seção “Configurações de varredura”, selecione um conjunto diferente de consultas para executar em seu código.
-
Para atualizar sua configuração, bem como executar uma análise inicial do seu código com a nova configuração, clique em Salvar alterações. Todas as análises futuras usarão sua nova configuração.
Como definir as gravidades de alerta que causam uma falha de verificação para uma solicitação de pull
Quando você habilita o code scanning em pull requests, a verificação falhará somente se um ou mais alertas de gravidade error
, ou gravidade de segurança critical
ou high
forem detectados. A verificação será bem-sucedida se forem detectados alertas com gravidades ou gravidades de segurança mais baixas. Para bases de código importantes, convém que a verificação do code scanning falhe se algum alerta for detectado, de modo que o alerta deve ser corrigido ou descartado antes que a alteração de código seja mesclada. Para obter mais informações sobre níveis de gravidade, consulte "Sobre a gravidade de alertas e níveis de gravidade de segurança".
-
No sua instância do GitHub Enterprise Server, navegue até a página principal do repositório.
-
Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.
-
Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.
-
Em "Code scanning", à direita de "Falha de Verificação", use o menu suspenso para selecionar o nível de gravidade que deseja atribuir em caso de falha de verificação de uma solicitação de pull.
Estendendo a cobertura do CodeQL com pacotes de modelos do CodeQL na configuração padrão
Observação: os pacotes de modelos do CodeQL e o editor de modelos do CodeQL estão atualmente em beta e estão sujeitos a alterações. Durante o beta, os pacotes de modelo são compatíveis apenas com a análise Java/Kotlin e C#.
Se você usar estruturas e bibliotecas não reconhecidas pelas bibliotecas padrão incluídas com o CodeQL, poderá modelar suas dependências e estender as análises do code scanning. Para obter mais informações, consulte Linguagens e estruturas com suporte na documentação do CodeQL.
Para a configuração padrão, você precisa definir os modelos de suas dependências adicionais em um pacote de modelos do CodeQL. Você pode estender a cobertura na configuração padrão com pacotes de modelos do CodeQL para repositórios individuais, ou em escala para todos os repositórios em uma organização.
Para obter mais informações sobre os pacotes de modelos do CodeQL e escrever os seus próprios, confira "Usar o editor de modelos do CodeQL".
Estender a cobertura de um repositório
- No diretório
.github/codeql/extensions
do repositório, copie o diretório do pacote de modelos que deve incluir um arquivocodeql-pack.yml
e quaisquer arquivos.yml
contendo modelos adicionais para as bibliotecas ou estruturas que você deseja incluir em sua análise. - Esses pacotes de modelos serão automaticamente detectados e usados na sua análise de code scanning.
- Se você alterar posteriormente sua configuração para usar a configuração avançada, qualquer pacote de modelos no diretório
.github/codeql/extensions
ainda será reconhecido e usado.
Estender a cobertura para todos os repositórios em uma organização
Observação: se você estender a cobertura com pacotes de modelos do CodeQL para todos os repositórios em uma organização, os pacotes de modelos especificados deverão ser publicados no GitHub Container registry e estar acessíveis aos repositórios que executam a verificação de código. Para obter mais informações, confira "Configurando o controle de acesso e visibilidade de um pacote".
-
No canto superior direito do GitHub Enterprise Server, selecione sua foto do perfil e em Suas organizações.
-
No nome da sua organização, clique Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.
-
Clique em Segurança e análise de código.
-
Encontre a seção de "Code scanning".
-
Ao lado de "Expandir análise do CodeQL", clique em Configurar.
-
Insira referências aos pacotes de modelos publicados que você deseja usar, uma por linha, e clique em Salvar.
-
Os pacotes de modelos serão detectados e usados automaticamente quando a code scanning for executada em qualquer repositório da organização com a configuração padrão habilitada.