Conjuntos de consultas CodeQL

Você pode escolher entre diferentes conjuntos de consultas internos do CodeQL a serem usados na configuração do CodeQL code scanning.

Quem pode usar esse recurso?

O CodeQL está disponível para os seguintes tipos de repositórios:

Neste artigo

Sobre conjuntos de consultas do CodeQL

Com o CodeQL code scanning, você pode selecionar um grupo específico de consultas do CodeQL, chamado de conjunto de consultas do CodeQL, para ser executado no código. Os seguintes conjuntos de consultas internos estão disponíveis por meio do GitHub:

  • Conjunto de consultas default.
  • Conjunto de consultas security-extended. Esse pacote é conhecido como o conjunto de consultas “Estendido” no GitHub.

Atualmente, os pacotes de consultas default e security-extended estão disponíveis para a configuração padrão da code scanning. Além disso, os proprietários da organização e os gerentes de segurança podem recomendar um pacote de consultas para uso com a configuração padrão em toda a organização. Para obter mais informações sobre como configurar a configuração padrão para repositórios individuais, confira "Como definir a configuração padrão da verificação de código". Para obter mais informações sobre como configurar a configuração padrão em escala e recomendar um conjunto de consultas, confira "Como definir a configuração padrão da verificação de código em escala".

Para usar um pacote de consultas personalizado, você precisa definir uma configuração avançada da code scanning do CodeQL. Para obter mais informações sobre configurações avançadas e como criar um conjunto de consultas, confira "Como definir a configuração avançada para verificação de código" e "Como criar conjuntos de consultas do CodeQL".

Conjuntos de consultas internos do CodeQL

Os conjuntos de consultas internos do CodeQL, default e security-extended são criados e mantidos por GitHub. Ambos os conjuntos de consultas estão disponíveis para cada CodeQL. Para obter mais informações sobre as linguagens com suporte no CodeQL, confira "Sobre a varredura de código com CodeQL".

Conjunto de consultas default

  • O conjunto de consultas default é o grupo de consultas executado por padrão em CodeQL code scanning em GitHub.
  • As consultas no conjunto de consultas default são altamente precisas e retornam poucos resultados de code scanning. Em relação ao conjunto de consultas security-extended, o conjunto default retorna resultados de code scanning com menos confiança.
  • Esse pacote de consultas está disponível para uso com a configuração padrão da code scanning.

Conjunto de consultas security-extended

  • O conjunto de consultas security-extended consiste em todas as consultas no conjunto de consultas default, além de consultas adicionais com precisão e gravidade ligeiramente menores.
  • Em relação ao conjunto de consultas default, o conjunto security-extended pode retornar um número maior de resultados de code scanning falsos positivos.
  • Esse conjunto de consultas está disponível para uso com configuração padrão para code scanning e é conhecido como o conjunto de consultas "Estendido" no GitHub.

Listas de consultas para conjuntos de consultas padrão

Para cada linguagem, o artigo a seguir lista quais consultas estão incluídas nos conjuntos de verificações default e security-extended.

Leitura adicional