Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Gerenciar alertas de verificação de código para o seu repositório

Você pode visualizar, corrigir e fechar alertas de possíveis vulnerabilidades ou erros no código do seu projeto.

As pessoas com permissão de gravação em um repositório podem gerenciar alertas de Varredura de código do repositório.

Varredura de código está disponível em repositórios públicos e em repositórios públicos e privados pertencentes a organizações com uma licença para Segurança Avançada. Para obter mais informações, consulte "produtos de GitHub

Neste artigo

Did this doc help you?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

Ou, learn how to contribute.

Sobre os alertas de Varredura de código

Você pode configurar Varredura de código para verificar o código em um repositório usando a análise-padrão de CodeQL, uma análise de terceiros ou vários tipos de análise. Quando a análise for concluída, os alertas resultantes serão exibidos lado a lado na visualização de segurança do repositório. Os resultados de ferramentas de terceiros ou de consultas personalizadas podem não incluir todas as propriedades que você vê para alertas detectados pela análise-padrão CodeQL de GitHub. Para obter mais informações, consulte "Habilitando Varredura de código.

Por padrão, Varredura de código analisa seu código periodicamente no branch-padrão e durante os pull requests. Para obter informações sobre o gerenciamento de alertas em um pull request, consulte "Triar aletras de Varredura de código em pull requests".

Sobre detalhes de alertas

Cada alerta destaca um problema com o código e o nome da ferramenta que o identificou. Você pode ver a linha de código que acionou o alerta, bem como propriedades do alerta, como, por exemplo, a gravidade e a natureza do problema. Os alertas também informam quando o problema foi introduzido pela primeira vez. Para os alertas identificados pela análise do CodeQL , você também verá informações sobre como corrigir o problema.

Exemplo de alerta de Varredura de código

Se você habilitar o Varredura de código usando CodeQL, isso também poderá detectar problemas no fluxo de dados no seu código. A análise do fluxo de dados encontra potenciais problemas de segurança no código, tais como: usar dados de forma insegura, passar argumentos perigosos para funções e vazar informações confidenciais.

Quando Varredura de código relata alertas de fluxo de dados, GitHub mostra como os dados se movem através do código. Varredura de código permite que você identifique as áreas do seu código que vazam informações confidenciais que poderia ser o ponto de entrada para ataques de usuários maliciosos.

Visualizar um alerta

Qualquer pessoa com permissão de leitura para um repositório pode ver alertas de Varredura de código em pull requests. No entanto, você precisa de permissão de gravação para ver um resumo de alertas de repositório na aba Segurança. Por padrão, os alertas são exibidos para o branch-padrão.

  1. No GitHub, navegue até a página principal do repositório.

  2. No seu nome de repositório, clique em Segurança.

    Guia de segurança

  3. Na barra lateral esquerda, clique em alertas de varredura de código. Opcionalmente, selecione a ferramenta de varredura de código que você usou.

    Aba de "Alertas de varredura de código"

  4. Opcionalmente, se o alerta destacar um problema com o fluxo de dados, clique em Mostrar caminhos para exibir o caminho da fonte de dados até o destino onde é usado.

    Exemplo de alerta de fluxo de dados

Corrigir um alerta

Qualquer pessoa com permissão de gravação para um repositório pode corrigir um alerta, fazendo o commit de uma correção do código. Se o repositório tiver Varredura de código agendado para ser executado em pull requests, recomenda-se registrar um pull request com sua correção. Isso ativará a análise de Varredura de código referente às alterações e irá testar se sua correção não apresenta nenhum problema novo. Para obter mais informações, consulte "Configurar Varredura de código" e " "Testar alertas de Varredura de código em pull requests".

Fechar um alerta

Fechar um alerta é uma maneira de resolver um alerta que você considera que não precisa ser corrigido. Por exemplo, um erro no código que é usado apenas para testes ou quando o esforço de corrigir o erro é maior do que o benefício potencial de melhorar o código.

  1. No GitHub, navegue até a página principal do repositório.

  2. No seu nome de repositório, clique em Segurança.

    Guia de segurança

  3. Na barra lateral esquerda, clique em alertas de varredura de código. Opcionalmente, selecione a ferramenta de varredura de código que você usou.

    Aba de "Alertas de varredura de código"

  4. Selecione o menu suspenso de Fechar e clique em um motivo para fechar o alerta.

    Escolher o motivo para fechar o alerta no menu suspenso Fechar

Se você fechar um alerta de CodeQL como um falso resultado positivo, por exemplo, porque o código usa uma biblioteca de sanitização incompatível, considere contribuir ao repositório de CodeQL e melhorar a análise. Para obter mais informações sobre CodeQL, consulte "Contribuir para CodeQL".

Leia mais

Did this doc help you?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

Ou, learn how to contribute.