Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais atualizadas, acesse a documentação em inglês.
All products
Segurança do código

Esta versão do GitHub Enterprise foi descontinuada em 2023-03-15. Nenhum lançamento de patch será feito, mesmo para questões críticas de segurança. Para obter melhor desempenho, segurança aprimorada e novos recursos, atualize para a última versão do GitHub Enterprise. Para obter ajuda com a atualização, entre em contato com o suporte do GitHub Enterprise.

Sobre alertas de digitalização de códigos

Neste artigo

Aprenda os diferentes tipos de alertas de varredura de códigos e as informações que ajuda você a entender o problema nos destaques de cada alerta.

A Code scanning está disponível para os repositórios pertencentes à organização do GitHub Enterprise Server. Esse recurso exige uma licença do GitHub Advanced Security. Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub".

Observação: o administrador do site precisa habilitar o code scanning para o sua instância do GitHub Enterprise Server a fim de que seja possível usar esse recurso. Para obter mais informações, confira "Configurar a varredura de código para o seu aparelho".

Sobre os alertas de code scanning

Você pode configurar code scanning para verificar o código em um repositório usando a análise-padrão de CodeQL, uma análise de terceiros ou vários tipos de análise. Quando a análise for concluída, os alertas resultantes serão exibidos lado a lado na visualização de segurança do repositório. Os resultados de ferramentas de terceiros ou de consultas personalizadas podem não incluir todas as propriedades que você vê para alertas detectados pela análise-padrão CodeQL de GitHub. Para obter mais informações, confira "Como configurar a verificação de código para um repositório".

Por padrão, code scanning analisa seu código periodicamente no branch-padrão e durante os pull requests. Para saber mais sobre como gerenciar alertas em uma solicitação de pull, confira "Alertas de varredura de código de triagem em pull requests".

Você pode auditar as ações executadas em resposta aos alertas do code scanning usando as ferramentas do GitHub. Para obter mais informações, confira "Alertas de segurança de auditoria".

Sobre os detalhes do alerta

Cada alerta destaca um problema com o código e o nome da ferramenta que o identificou. Você pode ver a linha de código que acionou o alerta, bem como propriedades do alerta, por exemplo, a gravidade do alerta, a gravidade da segurança e a natureza do problema. Os alertas também informam quando o problema foi introduzido pela primeira vez. Para os alertas identificados pela análise do CodeQL , você também verá informações sobre como corrigir o problema.

Exemplo de alerta da code scanning

Se você configurar code scanning usando CodeQL, também poderá encontrar problemas no fluxo de dados no seu código. A análise do fluxo de dados encontra potenciais problemas de segurança no código, tais como: usar dados de forma insegura, passar argumentos perigosos para funções e vazar informações confidenciais.

Quando code scanning relata alertas de fluxo de dados, GitHub mostra como os dados se movem através do código. permite que você identifique as áreas do seu código que vazam informações confidenciais que poderia ser o ponto de entrada para ataques de usuários maliciosos.

Sobre os níveis de gravidade

Os níveis de severidade do alerta podem ser Error, Warning e Note.

Se a code scanning estiver habilitada como uma verificação de solicitação de pull, a verificação falhará se detectar algum resultado com a severidade error. Você pode especificar o nível de gravidade dos alertas da verificação de código que causa uma falha de verificação. Para obter mais informações, confira "Como personalizar a verificação de código".

Sobre níveis de gravidade de segurança

exibe níveis de gravidade de segurança para alertas gerados por consultas de segurança. Os níveis de severidade de segurança podem ser Critical, High, Medium ou Low.

Para calcular a gravidade da segurança de um alerta, usamos dados de Pontuação do Sistema de Vulnerabilidade Comum (CVSS). O CVSS é uma estrutura aberta para comunicar as características e gravidade das vulnerabilidades de software, e é comumente usado por outros produtos de segurança para pontuar alertas. Para obter mais informações sobre como os níveis de severidade são calculados, confira esta postagem no blog.

Por padrão, os resultados da code scanning com a severidade de segurança Critical ou High causará uma falha de verificação. Você pode especificar qual nível de gravidade de segurança para resultados de code scanning causarão uma falha de verificação. Para obter mais informações, confira "Como personalizar a verificação de código".

Sobre etiquetas para alertas não encontrados no código do aplicativo

GitHub Enterprise Server atribui uma etiqueta de categoria para alertas que não são encontrados no código do aplicativo. A etiqueta está relacionado à localização do alerta.

  • Gerado: código gerado pelo processo de build

  • Teste: código de teste

  • Biblioteca: biblioteca ou código de terceiros

  • Documentação: documentação

    categoriza arquivos por caminho do arquivo. Você não pode categorizar manualmente os arquivos de origem.

Aqui está um exemplo da lista de alerta de code scanning de um alerta marcado como ocorrência no código da biblioteca.

Código digitalizando o alerta de biblioteca na lista

Na página de alertas, você poderá ver que o caminho do arquivo é marcado como o código da biblioteca (rótulo Library).

Código digitalizando as informações do alerta de biblioteca