Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

About code scanning

You can use Varredura de código to find security vulnerabilities and errors in the code for your project on GitHub.

Varredura de código está disponível em repositórios públicos e em repositórios públicos e privados pertencentes a organizações com uma licença para Segurança Avançada. Para obter mais informações, consulte "produtos de GitHub

Neste artigo

Did this doc help you?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

Ou, learn how to contribute.

About Varredura de código

Varredura de código is a feature that you use to analyze the code in a GitHub repository to find security vulnerabilities and coding errors. Any problems identified by the analysis are shown in GitHub.

You can use Varredura de código to find, triage, and prioritize fixes for existing problems in your code. Varredura de código also prevents developers from introducing new problems. You can schedule scans for specific days and times, or trigger scans when a specific event occurs in the repository, such as a push.

If Varredura de código finds a potential vulnerability or error in your code, GitHub displays an alert in the repository. After you fix the code that triggered the alert, GitHub closes the alert. For more information, see "Managing Varredura de código alerts for your repository."

To monitor results from Varredura de código across your repositories or your organization, you can use the Varredura de código API. For more information about API endpoints, see "Varredura de código."

To get started with Varredura de código, see "Enabling Varredura de código for a repository."

About CodeQL

You can use Varredura de código with CodeQL, a semantic code analysis engine. CodeQL treats code as data, allowing you to find potential vulnerabilities in your code with greater confidence than traditional static analyzers.

QL is the query language that powers CodeQL. QL is an object-oriented logic programming language. GitHub, language experts, and security researchers create the queries used for Varredura de código, and the queries are open source. The community maintains and updates the queries to improve analysis and reduce false positives. For more information, see CodeQL on the GitHub Security Lab website.

Varredura de código with CodeQL supports both compiled and interpreted languages, and can find vulnerabilities and errors in code that's written in the supported languages.

  • C/C++
  • C#
  • Go
  • Java
  • JavaScript/TypeScript
  • Python

You can view and contribute to the queries for Varredura de código in the github/codeql repository. For more information, see CodeQL queries in the CodeQL documentation.

About billing for Varredura de código

Varredura de código uses GitHub Actions, and each run of a Varredura de código workflow consumes minutes for GitHub Actions. For more information, see "About billing for GitHub Actions."

About third-party code scanning tools

Você pode carregar arquivos SARIF de ferramentas de análise estáticas de terceiros para o GitHub e ver Varredura de código alertas dessas ferramentas no seu repositório.

Varredura de código é interoperável com ferramentas de escaneamento de código de terceiros que saem dados de análise estática de resultados de mudança de formato (SARIF). SARIF é um padrão aberto. Para obter mais informações, consulte "SARIF output for Varredura de código."

Para começar, consulte "Uploading a SARIF file to GitHub."

Further reading

Did this doc help you?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

Ou, learn how to contribute.