Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais atualizadas, acesse a documentação em inglês.
All products
Segurança do código

Como configurar a verificação de código para um repositório

Execute digitalização de código com GitHub Actions2 de 6 no roteiro de aprendizagem
Avançar:Como personalizar a verificação de código

Neste artigo

Você pode configurar a code scanning para um repositório para encontrar vulnerabilidades de segurança em seu código.

Quem pode usar esse recurso

People with admin permissions to a repository, or the security manager role for the repository, can configure code scanning for that repository. People with write permissions to a repository can also configure code scanning, but only by creating a workflow file or manually uploading a SARIF file.

A Code scanning está disponível para os repositórios pertencentes à organização do GitHub Enterprise Server. Esse recurso exige uma licença do GitHub Advanced Security. Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub".

Observação: o administrador do site precisa habilitar o code scanning para o sua instância do GitHub Enterprise Server a fim de que seja possível usar esse recurso. Se você desejar usar o GitHub Actions para fazer a varredura do seu código, o administrador do site também deverá habilitar o GitHub Actions e configurar a infraestrutura necessária. Para obter mais informações, confira "Configurar a varredura de código para o seu aparelho".

Opções para configurar a code scanning

Você decide como gerar alertas de code scanning e quais ferramentas usar no nível de um repositório. O GitHub Enterprise Server fornece suporte totalmente integrado para a análise do CodeQL e também é compatível com ferramentas de análise usando ferramentas de terceiros. Para obter mais informações, confira os marcadores a seguir e "Sobre a varredura de código".

Observação: este artigo descreve os recursos disponíveis na versão da ação do CodeQL e o pacote da CodeQL CLI associado incluído na versão inicial desta versão do GitHub Enterprise Server. Se sua empresa usa uma versão mais recente da ação CodeQL, confira a versão GitHub Enterprise Cloud deste artigo para obter informações sobre os recursos mais recentes. Para obter mais informações sobre como usar a versão mais atual, confira "Configurar a varredura de código para o seu aparelho".

Como configurar manualmente a code scanning

  1. No sua instância do GitHub Enterprise Server, navegue até a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança. Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Segurança" é realçada por um contorno laranja escuro.

  3. À direita de "Alertas do Code scanning", clique em Configurar code scanning . Se a opção "Alertas do code scanning" estiver ausente, você precisará pedir a um proprietário da organização ou a um administrador do repositório para habilitar o GitHub Advanced Security. Para obter mais informações, confira "Gerenciando as configurações de segurança e de análise da sua organização" ou "Gerenciando as configurações de segurança e análise do repositório".

  4. Em "Introdução à code scanning", clique em Configurar este fluxo de trabalho no Fluxo de trabalho de análise do CodeQL ou em um fluxo de trabalho de terceiros.

    Os fluxos de trabalho só serão exibidos se forem relevantes para as linguagens de programação detectadas no repositório. O Fluxo de trabalho de análise do CodeQL é sempre exibido, mas o botão "Configurar este fluxo de trabalho" só fica habilitado se a análise do CodeQL dá suporte às linguagens presentes no repositório.

  5. Para personalizar como code scanning faz a varredura do seu código, edite o fluxo de trabalho.

    Geralmente, você pode fazer commit do Fluxo de trabalho de análise do CodeQL sem fazer nenhuma alteração a ele. No entanto, muitos dos fluxos de trabalho de terceiros exigem configuração adicional, portanto, leia os comentários no fluxo de trabalho antes de fazer commit.

    Para obter mais informações, confira "Como personalizar a verificação de código".

  6. Clique em Fazer commit das alterações… para ver o formulário das alterações de commit.

    Captura de tela do formulário para criar um arquivo. À direita do nome do arquivo, um botão verde, rotulado como "Confirmar alterações...", está contornado em laranja escuro.

  7. No campo mensagem do commit, digite uma mensagem do commit.

  8. Escolha se você quer fazer commit diretamente no branch padrão ou criar um branch e iniciar uma solicitação de pull.

  9. Clique em Confirmar novo arquivo ou Propor novo arquivo.

No Fluxo de trabalho de análise do CodeQL sugerido, a code scanning está configurada para analisar o código cada vez que você efetua push de uma alteração para a ramificação padrão ou para qualquer ramificação protegida ou quando aciona uma solicitação de pull na ramificação padrão. Como resultado, code scanning vai começar agora.

Os gatilhos on:pull_request e on:push para varredura de código são úteis para finalidades diferentes. Para obter mais informações, confira "Como personalizar a verificação de código".

Configuração em lote da code scanning

Você pode configurar a code scanning em vários repositórios de uma vez usando um script. Caso deseje usar um script para gerar solicitações de pull que adicionam um fluxo de trabalho do GitHub Actions a vários repositórios, confira o repositório jhutchings1/Create-ActionsPRs para ver um exemplo do uso do PowerShell ou nickliffen/ghas-enablement para as equipes que não têm o PowerShell e desejam usar o NodeJS.

Visualizar a saída do registro de code scanning

Depois de configurar a code scanning para seu repositório, você poderá inspecionar a saída das ações conforme forem executadas.

  1. No nome do repositório, clique em Ações.

    Guia Actions no menu de navegação do repositório principal

    Você verá uma lista que inclui uma entrada para executar o fluxo de trabalho de code scanning. O texto da entrada é o título que você deu à sua mensagem de commit.

    Lista de ações que mostram o fluxo de trabalho de code scanning

  2. Clique na entrada da execução do fluxo de trabalho da code scanning.

  3. Clique no nome do trabalho à esquerda. Por exemplo, Analisar (LANGUAGE) .

    Saída do log do fluxo de trabalho de code scanning

  4. Revise a saída de log das ações deste fluxo de trabalho enquanto elas são executadas.

  5. Depois que todos os trabalhos forem concluídos, você poderá visualizar os as informações dos alertas de code scanning que foram identificados. Para obter mais informações, confira "Gerenciamento de alertas de varredura de código para seu repositório".

Entendendo as verificações de pull request

Cada fluxo de trabalho de code scanning que você configurar para ser executado em pull requests sempre terá pelo menos duas entradas listadas na seção de verificações de um pull request. Há uma entrada para cada um dos trabalhos de análise no fluxo de trabalho e uma entrada final para os resultados da análise.

Os nomes das verificações de análise de code scanning assumem a forma: "TOOL NAME / JOB NAME (TRIGGER)." Por exemplo, para CodeQL, a análise do código C++ tem a entrada "CodeQL / Analyze (cpp) (pull_request)." Clique em Detalhes em uma entrada da análise da code scanning para ver os dados de log. Isso permite que você corrija um problema caso ocorra uma falha no trabalho de análise. Por exemplo, para a análise de code scanning de linguagens compiladas, isto pode acontecer se a ação não puder criar o código.

Captura de tela que mostra um exemplo de verificações de solicitação de pull da code scanning. A falha da análise do CodeQL para C++ é mostrada com uma cruz vermelha.

Quando os trabalhos do code scanning forem concluídos, o GitHub descobrirá se alertas foram adicionados pela solicitação de pull e adicionará a entrada "Resultados do Code scanning/NOME DA FERRAMENTA" à lista de verificações. Depois que a code scanning for executada, pelo menos, uma vez, clique em Detalhes para ver os resultados da análise.

Próximas etapas

Depois de configurar a code scanning, e permitir que suas ações sejam concluídas, você pode:

AnteriorSobre a varredura de códigoAvançarComo personalizar a verificação de código