Observação: o administrador do site precisa habilitar code scanning antes que você possa usar esse recurso. Para obter mais informações, confira "Como configurar a verificação de código do seu dispositivo".
Talvez você não consiga habilitar ou desabilitar o code scanning se um proprietário da empresa tiver definido uma política GitHub Advanced Security (GHAS) no nível da empresa. Para obter mais informações, confira "Como impor políticas para segurança e análise de código na empresa".
Sobre a página de status da ferramenta
A página de status da ferramenta mostra informações úteis sobre todas as ferramentas da code scanning. Se a code scanning não estiver funcionando como esperado, a página de status da ferramenta será um bom ponto de partida para problemas de depuração.
Usando a página de status da ferramenta, você pode ver se as ferramentas de verificação de código estão funcionando bem para um repositório, quando os arquivos no repositório foram verificados pela primeira vez e mais recentemente e quando as verificações estão agendadas. Para ferramentas integradas como o CodeQL, você também pode ver informações mais detalhadas, incluindo um percentual de arquivos verificados e mensagens de erro específicas.
Veja também as regras em relação às quais o código foi verificado por configuração de uma ferramenta da code scanning e baixe um resumo dos resultados.
Observação: a página de status da ferramenta mostra como as ferramentas estão funcionando no repositório, não na organização. O status da ferramenta só é mostrado para o branch padrão do repositório para o qual essa ferramenta está configurada.
Como exibir a página de status da ferramenta para um repositório
A página de alertas da verificação de código de cada repositório inclui uma faixa de ferramentas com um resumo da integridade da análise de verificação de código e o acesso à página de status da ferramenta para explorar sua configuração.
- Em GitHub, acesse a página principal do repositório.
- Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança.
- Na barra lateral, clique em Code scanning.
- Clique em Status da ferramenta na faixa de ferramentas.
Como usar a página de status da ferramenta
Na página de status da ferramenta, você verá um resumo de uma ferramenta, realçada na barra lateral. Use a barra lateral para ver resumos de diferentes ferramentas.
Para ferramentas integradas, como o CodeQL, você pode ver um total percentual de todos os arquivos verificados mais recentemente no seu repositório, organizados pela linguagem de programação. Para obter informações sobre quais arquivos são considerados verificados pelo CodeQL, confira "Como o CodeQL define os arquivos verificados". Baixe também os relatórios de linguagem detalhados no formato CSV. Para obter mais informações, confira "Como baixar os detalhes dos arquivos analisados".
Os três status de ferramenta possíveis são: todas as configurações estão funcionando, algumas configurações precisam de atenção e algumas configurações não estão funcionando.
Como acessar informações detalhadas sobre as ferramentas
Quando quiser ver informações mais detalhadas para a ferramenta exibida no momento, selecione uma configuração específica em "Tipos de instalação".
Em "Configurações" à esquerda da tela, veja informações de cada análise executada por esse tipo de configuração e todas as mensagens de erro relevantes. Para ver informações detalhadas sobre a execução de análise mais recente, selecione uma configuração na barra lateral. Baixe os detalhes de exatamente quais regras foram executadas nessa verificação do código e quantos alertas foram encontrados por regra. Para obter mais informações, confira "Como baixar listas das regras usadas".
Essa exibição também mostrará as mensagens de erro. Para obter mais informações, confira "Depuração com a página de status da ferramenta".
Como o CodeQL define os arquivos verificados
Um arquivo é relatado como verificado pelo CodeQL se algumas das linhas de código desse arquivo foram processadas. Se você estiver usando uma configuração padrão da ação do CodeQL, os arquivos verificados mostrados na página de status da ferramenta incluirão os arquivos de código-fonte de todas as linguagens que podem ser analisadas pelo CodeQL. Se você usar a configuração avançada, opcionalmente, poderá definir quais arquivos para as linguagens interpretadas devem ser verificados usando as propriedades de configuração paths
e paths-ignore
. Para obter mais informações, confira "Sobre a varredura de código com CodeQL" e "Personalizando a configuração avançada para varredura de código."
Para as linguagens compiladas, a página de status da ferramenta relata os arquivos que estavam presentes antes da execução do build automático ou de qualquer etapa de build manual. Isso significa que os arquivos gerados durante o processo de build não são mostrados na página de status da ferramenta. Para obter mais informações, confira "Verificação de código do CodeQL para linguagens compiladas".
A página de status da ferramenta calculará o percentual de arquivos que foram verificados pelo CodeQL para cada linguagem de programação compatível com CodeQL. Essa porcentagem respeita todos os arquivos excluídos pelas propriedades de configuração paths
e paths-ignore
.
Como baixar os detalhes dos arquivos analisados
Para ferramentas integradas, como o CodeQL, baixe relatórios detalhados da página de status da ferramenta no formato CSV. Isso mostrará:
- A configuração que foi usada para verificar cada arquivo.
- O caminho do arquivo.
- A linguagem de programação do arquivo.
- Se o arquivo foi extraído com sucesso.
Para baixar um relatório, selecione uma ferramenta de seu interesse. Em seguida, no canto superior direito da página, clique no botão .
Como baixar listas das regras usadas
Baixe a lista de regras de referência usada pela code scanning no formato CSV. Isso mostrará:
- A configuração usada.
- A origem da regra.
- O identificador SARIF.
- O número de alertas encontrados.
Para baixar um relatório, selecione uma configuração de seu interesse. Em seguida, clique em no canto superior direito da página e selecione Download list of rules used.
Removendo configurações
Você pode remover configurações obsoletas, duplicadas ou indesejadas para o branch padrão do repositório.
Para remover uma configuração, selecione a configuração que você deseja excluir. Em seguida, clique em no canto superior direito da página e selecione Excluir configuração. Depois de ler o aviso sobre alertas, para confirmar a exclusão, clique no botão Excluir.
Nota: você só pode usar o página de status da ferramenta para remover as configurações do branch padrão de um repositório. Para obter informações sobre como remover configurações de branches não padrão, confira "Resolvendo alertas de varredura de código."
Depuração com a página de status da ferramenta
Se você observar que há um problema com a análise na página de alertas da code scanning, use a página de status da ferramenta para identificar o problema. Para ferramentas integradas, você poderá ver mensagens de erro específicas na seção de informações detalhadas, relacionadas a ferramentas específicas da code scanning. Essas mensagens de erro contêm informações sobre o motivo pelo qual a ferramenta pode não ser executada conforme o esperado e as ações que podem ser executadas. Para obter mais informações sobre como acessar esta seção da página de status da ferramenta, confira "Como acessar informações detalhadas sobre as ferramentas".
Para ferramentas integradas, como CodeQL, você também pode usar informações de cobertura de arquivo para aprimorar sua análise. Para cada linguagem de programação exibida em página de status da ferramenta:
- Se a linguagem de programação tiver uma porcentagem verificada alta, isso mostrará que a verificação de código está verificando essa linguagem de programação conforme o esperado.
- Se a linguagem de programação tiver um percentual baixo verificado, investigue a saída de diagnóstico produzida pelo CodeQL para essa linguagem de programação: para obter mais informações, confira "O CodeQL verificou menos linhas do que o esperado".
- Se a linguagem de programação tiver uma porcentagem verificada de zero, você poderá ter o código-fonte em seu repositório escrito em linguagens de programação compatíveis com CodeQL, mas não sendo analisadas no momento com o CodeQL. Nesse caso, talvez você queira atualizar sua configuração para começar a analisar essas linguagens de programação adicionais. Para obter mais informações, confira "Personalizando a configuração avançada para varredura de código".
Observação: se você definiu o CodeQL usando a configuração avançada e, depois, definiu a configuração padrão no mesmo repositório, a página de status da ferramenta mostrará apenas a configuração padrão.
Para obter mais informações, confira "Solucionar problemas da varredura de código" e "Solução de problemas de uploads SARIF."