Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.
All products
Segurança do código

Esta versão do GitHub Enterprise foi descontinuada em 2023-03-15. Nenhum lançamento de patch será feito, mesmo para questões críticas de segurança. Para obter melhor desempenho, segurança aprimorada e novos recursos, atualize para a última versão do GitHub Enterprise. Para obter ajuda com a atualização, entre em contato com o suporte do GitHub Enterprise.

Sobre a varredura de código

In this article

Você pode usar code scanning para encontrar vulnerabilidades e erros de segurança no código do seu projeto no GitHub.

A está disponível para os repositórios pertencentes à organização no GitHub Enterprise Server. Esse recurso exige uma licença do GitHub Advanced Security. Para obter mais informações, confira "About GitHub Advanced Security".

Observação: o administrador do site precisa habilitar o code scanning para o sua instância do GitHub Enterprise Server a fim de que seja possível usar esse recurso. Para obter mais informações, confira "Configurar a varredura de código para o seu aparelho".

Sobre a code scanning

é um recurso que você usa para analisar o código em um repositório de GitHub para localizar vulnerabilidades de segurança e erros de codificação. Quaisquer problemas identificados pela análise são exibidos em GitHub Enterprise Server.

Você pode usar code scanning para encontrar, triar e priorizar correções de problemas existentes em seu código. também impede que os desenvolvedores apresentem novos problemas. É possível programar verificações para dias e horários específicos ou acionar varreduras quando ocorre um evento específico no repositório, como, por exemplo, um push.

Se code scanning encontrar uma vulnerabilidade potencial ou erro no seu código, GitHub exibirá um alerta no repositório. Depois de corrigir o código que desencadeou o alerta, GitHub fechará o alerta. Para obter mais informações, confira "Como gerenciar alertas da code scanning do seu repositório".

Para monitorar os resultados de code scanning nos seus repositórios ou organização, você pode usar webhooks e a API de code scanning. Para obter informações sobre os webhooks da code scanning, confira "Eventos e cargas de webhook". Para obter informações sobre os pontos de extremidade de API, confira "".

Para começar a usar a code scanning, confira "Como configurar a code scanning para um repositório".

Sobre ferramentas para code scanning

Você pode configurar code scanning para usar o produto de CodeQL mantido por GitHub ou pela ferramenta code scanning de terceiros.

Sobre a análise de CodeQL

CodeQL é o mecanismo de análise de código desenvolvido por GitHub para automatizar verificações de segurança. Você pode analisar seu código usando CodeQL e exibir os resultados como alertas de code scanning. Para obter mais informações sobre o CodeQL, confira "Sobre a verificação de código com o CodeQL".

Sobre ferramentas de code scanning de terceiros

é interoperável com ferramentas de escaneamento de código de terceiros que saem dados de análise estática de resultados de mudança de formato (SARIF). SARIF é um padrão aberto. Para obter mais informações, confira "SARIF support for code scanning".

Você pode executar ferramentas de análise de terceiros em GitHub Enterprise Server usando ações ou em um sistema CI externo. Para obter mais informações, confira "Como configurar code scanning para um repositório" ou "Como carregar um arquivo SARIF em GitHub".