Quando você começar a usar o code scanning, provavelmente usará a configuração padrão. Este guia descreve como avaliar como a configuração padrão para o code scanning está funcionando para você e quais etapas devem ser seguidas se algo não estiver funcionando conforme o esperado. Este guia também descreve como você poderá personalizar o code scanning se achar que tem um caso de uso específico que sua nova configuração não se encaixa.
Personalizar o code scanning
Ao configurar a instalação padrão pela primeira vez, ou após uma análise inicial do código, você poderá editar quais as configurações padrão de linguagem que serão analisadas e o conjunto de consultas que será executado durante a análise. O conjunto de consultas default
contém um conjunto de consultas que são cuidadosamente projetadas para procurar os problemas de segurança mais relevantes, minimizando os resultados falsos positivos. No entanto, você pode usar o pacote security-extended
para executar consultas adicionais, que têm precisão um pouco menor. Para obter mais informações sobre os pacotes de consultas disponíveis, confira "Conjuntos de consultas CodeQL".
Para obter mais informações sobre como personalizar a configuração padrão, confira "Editar as definições da configuração padrão".
Usar a configuração avançada
Se descobriu que ainda precisa de um controle mais granular sobre o code scanning, você pode usar a configuração avançada. A configuração avançada requer um esforço significativamente maior para configurar, personalizar e manter. Dessa forma, recomendamos habilitar a configuração padrão primeiro. Para obter mais informações sobre a configuração avançada, confira "Como definir a configuração avançada para verificação de código" e "Personalizando a configuração avançada para varredura de código".
Avaliar o code scanning com a página de status da ferramenta
A página de status da ferramenta mostra informações úteis sobre todas as ferramentas da code scanning. Você pode usá-lo para investigar se ferramentas individuais estão funcionando para um repositório, quando os arquivos no repositório foram verificados pela primeira vez e mais recentemente e quando as próximas verificações são agendadas. Também é um ponto de partida útil para depurar problemas.
Usando página de status da ferramenta, você pode fazer download da lista de regras que o code scanning está verificando, no formato CSV. Para ferramentas integradas como o CodeQL, você também pode ver informações mais detalhadas, incluindo um percentual de arquivos verificados e mensagens de erro específicas.
Se você achar que a configuração padrão não verifica todos os arquivos, talvez seja necessário personalizar o code scanning. Para obter mais informações, consulte "Personalizar a verificação de código" neste artigo. Como alternativa, ou se algo mais não estiver funcionando como você espera, nossa documentação de solução de problemas dedicada poderá ser útil. Para obter mais informações, confira "Solucionar problemas da varredura de código".
Para obter informações detalhadas sobre a página de status da ferramenta, consulte "Sobre a página de status da ferramenta para a verificação de código."