Sobre conjuntos de consultas do CodeQL
Com o CodeQL code scanning, você pode selecionar um grupo específico de consultas do CodeQL, chamado de conjunto de consultas do CodeQL, para ser executado no código. Os seguintes conjuntos de consultas internos estão disponíveis por meio do GitHub:
- Conjunto de consultas
default
. - Conjunto de consultas
security-extended
. Esse pacote é conhecido como o conjunto de consultas “Estendido” no GitHub.
Atualmente, os pacotes de consultas default
e security-extended
estão disponíveis para a configuração padrão da code scanning. Além disso, os proprietários da organização e os gerentes de segurança podem recomendar um pacote de consultas para uso com a configuração padrão em toda a organização. Para obter mais informações sobre como configurar a configuração padrão para repositórios individuais, confira Como definir a configuração padrão da verificação de código. Para obter mais informações sobre como configurar a configuração padrão em escala e recomendar um conjunto de consultas, confira Como definir a configuração padrão da verificação de código em escala.
Para usar um pacote de consultas personalizado, você precisa definir uma configuração avançada da code scanning do CodeQL. Para obter mais informações sobre configurações avançadas e como criar um conjunto de consultas, confira Como definir a configuração avançada para verificação de código e Como criar conjuntos de consultas do CodeQL.
Conjuntos de consultas internos do CodeQL
Os conjuntos de consultas internos do CodeQL, default
e security-extended
são criados e mantidos por GitHub. Ambos os conjuntos de consultas estão disponíveis para cada CodeQL. Para obter mais informações sobre as linguagens com suporte no CodeQL, confira Sobre a varredura de código com CodeQL.
Conjunto de consultas default
- O conjunto de consultas
default
é o grupo de consultas executado por padrão em CodeQL code scanning em GitHub. - As consultas no conjunto de consultas
default
são altamente precisas e retornam poucos resultados de code scanning. Em relação ao conjunto de consultassecurity-extended
, o conjuntodefault
retorna resultados de code scanning com menos confiança. - Esse pacote de consultas está disponível para uso com a configuração padrão da code scanning.
Conjunto de consultas security-extended
- O conjunto de consultas
security-extended
consiste em todas as consultas no conjunto de consultasdefault
, além de consultas adicionais com precisão e gravidade ligeiramente menores. - Em relação ao conjunto de consultas
default
, o conjuntosecurity-extended
pode retornar um número maior de resultados de code scanning falsos positivos. - Esse conjunto de consultas está disponível para uso com configuração padrão para code scanning e é conhecido como o conjunto de consultas "Estendido" no GitHub.
Listas de consultas para conjuntos de consultas padrão
Para cada linguagem, o artigo a seguir lista quais consultas estão incluídas nos conjuntos de verificações default
e security-extended
.
- "Consultas C e C++ para análise CodeQL"
- "Consultas C# para análise CodeQL"
- "Consultas Go para análise CodeQL"
- "Consultas Java e Kotlin para análise CodeQL"
- "Consultas JavaScript e TypeScript para análise CodeQL"
- "Consultas Python para análise CodeQL"
- "Consultas Ruby para análise CodeQL"
- "Consultas Ruby para análise CodeQL"