Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Gerenciar alertas de verificação de código para o seu repositório

You can view, fix, dismiss, or delete alerts for potential vulnerabilities or errors in your project's code.

If you have write permission to a repository you can manage Varredura de código alerts for that repository.

Varredura de código is available in public repositories, and in private repositories owned by organizations with an Segurança Avançada license. Para obter mais informações, consulte "produtos de GitHub

Neste artigo

Sobre os alertas de Varredura de código

Você pode configurar Varredura de código para verificar o código em um repositório usando a análise-padrão de CodeQL, uma análise de terceiros ou vários tipos de análise. Quando a análise for concluída, os alertas resultantes serão exibidos lado a lado na visualização de segurança do repositório. Os resultados de ferramentas de terceiros ou de consultas personalizadas podem não incluir todas as propriedades que você vê para alertas detectados pela análise-padrão CodeQL de GitHub. Para obter mais informações, consulte "Habilitando Varredura de código.

Por padrão, Varredura de código analisa seu código periodicamente no branch-padrão e durante os pull requests. Para obter informações sobre o gerenciamento de alertas em um pull request, consulte "Triar aletras de Varredura de código em pull requests".

Sobre detalhes de alertas

Cada alerta destaca um problema com o código e o nome da ferramenta que o identificou. Você pode ver a linha de código que acionou o alerta, bem como propriedades do alerta, como, por exemplo, a gravidade e a natureza do problema. Os alertas também informam quando o problema foi introduzido pela primeira vez. Para os alertas identificados pela análise do CodeQL , você também verá informações sobre como corrigir o problema.

Exemplo de alerta de Varredura de código

Se você habilitar o Varredura de código usando CodeQL, isso também poderá detectar problemas no fluxo de dados no seu código. A análise do fluxo de dados encontra potenciais problemas de segurança no código, tais como: usar dados de forma insegura, passar argumentos perigosos para funções e vazar informações confidenciais.

Quando Varredura de código relata alertas de fluxo de dados, GitHub mostra como os dados se movem através do código. Varredura de código permite que você identifique as áreas do seu código que vazam informações confidenciais que poderia ser o ponto de entrada para ataques de usuários maliciosos.

Visualizar um alerta

Qualquer pessoa com permissão de leitura para um repositório pode ver alertas de Varredura de código em pull requests. No entanto, você precisa de permissão de gravação para ver um resumo de alertas de repositório na aba Segurança. Por padrão, os alertas são exibidos para o branch-padrão.

  1. No GitHub, navegue até a página principal do repositório.
  2. No seu nome de repositório, clique em Segurança.
    Guia de segurança
  3. Na barra lateral esquerda, clique em alertas de varredura de código. Opcionalmente, selecione a ferramenta de varredura de código que você usou.
    Aba de "Alertas de varredura de código"
  4. Em "Varredura de código", clique no alerta que você gostaria de explorar.
    Resumo dos alertas
  5. Opcionalmente, se o alerta destacar um problema com o fluxo de dados, clique em Mostrar caminhos para exibir o caminho da fonte de dados até o destino onde é usado.
    O link "Exibir caminhos" em um alerta
  6. Alertas da análise de CodeQL incluem uma descrição do problema. Clique em Mostrar mais para obter orientação sobre como corrigir seu código.
    Detalhes para um alerta

Corrigir um alerta

Qualquer pessoa com permissão de gravação para um repositório pode corrigir um alerta, fazendo o commit de uma correção do código. Se o repositório tiver Varredura de código agendado para ser executado em pull requests, recomenda-se registrar um pull request com sua correção. Isso ativará a análise de Varredura de código referente às alterações e irá testar se sua correção não apresenta nenhum problema novo. Para obter mais informações, consulte "Configurar Varredura de código" e " "Testar alertas de Varredura de código em pull requests".

Se você tem permissão de escrita em um repositório, você pode visualizar alertas corrigidos, vendo o resumo de alertas e clicando em Fechado. Para obter mais informações, consulte "Visualizar um alerta. The "Closed" list shows fixed alerts and alerts that users have dismissed.

Alertas podem ser corrigidos em um branch, mas não em outro. Você pode usar o menu suspenso "Branch", no resumo dos alertas, para verificar se um alerta é corrigido em um branch específico.

Filtrar alertas por branch

Ignorar ou excluir alertas

Há duas formas de fechar um alerta. Você pode corrigir o problema no código ou pode ignorar o alerta. Alternatively, if you have admin permissions for the repository, you can delete alerts. Excluir alertas é útil em situações em que você habilitou uma ferramenta Varredura de código e, em seguida, decidiu removê-la ou em situações em que você habilitou a análise de CodeQL com um conjunto de consultas maior do que você deseja continuar usando, e, em seguida, você removeu algumas consultas da ferramenta. Em ambos os casos, excluir alertas permite limpar os seus resultados de Varredura de código. Você pode excluir alertas da lista de resumo dentro da aba Segurança.

Ignorar um alerta é uma maneira de fechar um alerta que você considera que não precisa ser corrigido. Por exemplo, um erro no código que é usado apenas para testes ou quando o esforço de corrigir o erro é maior do que o benefício potencial de melhorar o código. Você pode ignorar alertas de anotações de Varredura de código no código ou da lista de resumo dentro na aba Segurança.

Ao descartar um alerta:

  • Ele é ignorado em todos os branches.
  • O alerta é removido do número de alertas atuais para o seu projeto.
  • O alerta é movido para a lista "Fechado" no resumo dos alertas, onde você pode reabri-lo, se necessário.
  • O motivo pelo qual você fechou o alerta foi gravado.
  • Da próxima vez que Varredura de código for executado, o mesmo código não gerará um alerta.

Ao excluir um alerta:

  • Ele é excluído em todos os branches.
  • O alerta é removido do número de alertas atuais para o seu projeto.
  • Ele não é adicionado à lista "Fechado" no resumo dos alertas.
  • Se o código que gerou o alerta permanecer o mesmo, e a mesma ferramenta Varredura de código for executada novamente sem qualquer alteração de configuração, o alerta será exibido novamente nos resultados das análises.

Para ignorar ou excluir alertas:

  1. No GitHub, navegue até a página principal do repositório.

  2. No seu nome de repositório, clique em Segurança.

    Guia de segurança

  3. Na barra lateral esquerda, clique em alertas de varredura de código. Opcionalmente, selecione a ferramenta de varredura de código que você usou.

    Aba de "Alertas de varredura de código"

  4. If you have admin permissions for the repository, and you want to delete alerts for this Varredura de código tool, select some or all of the check boxes and click Delete.

    Excluir alertas

    Opcionalmente, você pode usar os filtros para exibir um subconjunto de alertas e, em seguida, excluir todos os alertas de correspondência de uma só vez. Por exemplo, se você removeu uma consulta da análise de CodeQL, você pode usar o filtro "Regra" para listar apenas os alertas dessa consulta e, em seguida, selecionar e apagar todos esses alertas.

    Filtrar alertas por regra

  5. Se você deseja ignorar um alerta, é importante explorar primeiro o alerta para que você possa escolher o motivo correto para ignorá-lo. Clique no alerta que você deseja explorar.

    Abrir um alerta da lista de resumo

  6. Revise o alerta e clique em Ignorar e escolha um motivo para fechar o alerta.

    Escolher um motivo para ignorar um alerta

    É importante escolher o motivo apropriado no menu suspenso, pois isso pode afetar se uma consulta continua sendo incluída em análise futura.

    If you dismiss a CodeQL alert as a false positive result, for example because the code uses a sanitization library that isn't supported, consider contributing to the CodeQL repository and improving the analysis. Para obter mais informações sobre CodeQL, consulte "Contribuir para CodeQL".

Ignorar múltiplos alertas de uma vez

Se um projeto tem vários alertas que você deseja ignorar pelo mesmo motivo, você pode ignorá-los em massa do resumo de alertas. Normalmente, você pode querer filtrar a lista e, em seguida, ignorar todos os alertas correspondentes. Por exemplo, você pode querer ignorar todos os alertas atuais no projeto que foram marcados para uma vulnerabilidade específica de Enumeração de Fraqueza Comum (CWE).

Leia mais

Esse documento ajudou você?

Privacy policy

Ajude-nos a tornar esses documentos ótimos!

Todos os documentos do GitHub são de código aberto. Você percebeu que algo que está errado ou não está claro? Envie um pull request.

Faça uma contribuição

Ou, aprenda como contribuir.