Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Sobre a varredura de código

Você pode usar Varredura de código para encontrar vulnerabilidades e erros de segurança no código do seu projeto no GitHub.

Neste artigo

Nota: Varredura de código está atualmente em versão beta e sujeito a alterações. Para solicitar acesso ao beta, join the waitlist.

Sobre o Varredura de código

Com o Varredura de código, os desenvolvedores podem, de modo rápido e automático, analisar o código em um repositório do GitHub para encontrar vulnerabilidades de segurança e erros de codificação.

Você pode usar Varredura de código para encontrar, triar e priorizar correções de problemas existentes em seu código. Varredura de código também impede que os desenvolvedores apresentem novos problemas. É possível programar verificações para dias e horários específicos ou acionar varreduras quando ocorre um evento específico no repositório, como, por exemplo, um push.

Se Varredura de código encontrar uma vulnerabilidade potencial ou erro no seu código, GitHub exibirá um alerta no repositório. Depois de corrigir o código que desencadeou o alerta, GitHub fechará o alerta. Para obter mais informações, consulte "Gerenciando alertas do Varredura de código."

O Varredura de código é compatível com linguagens compiladas e interpretadas e é capaz de encontrar vulnerabilidades e erros no código escrito nos idiomas suportados.

  • C/C++
  • C#
  • Go
  • Java
  • JavaScript/TypeScript
  • Python

Varredura de código usa GitHub Actions. Para obter mais informações, consulte "Sobre o GitHub Actions".

Para começar com Varredura de código, consulte "Habilitando Varredura de código."

Para obter mais informações sobre os pontos de extremidade da API para Varredura de código, consulte "Varredura de código".

Sobre o CodeQL

Por padrão, Varredura de código usa CodeQL, um mecanismo de análise de código semântico. O CodeQL trata o código como dados, permitindo que você encontre possíveis vulnerabilidades em seu código com maior confiança do que os analisadores estáticos tradicionais. Você pode usar CodeQL para encontrar todas as variantes de uma vulnerabilidade e remover todas as variantes do seu código.

QL é a linguagem de consulta que move CodeQL. QL é uma linguagem de programação lógica voltada para objetos. GitHub, especialistas em idiomas e pesquisadores de segurança criam as consultas usadas para Varredura de código e as consultas são de código aberto. A comunidade mantém e atualiza as consultas para melhorar a análise e reduzir falsos positivos. Para obter mais informações, consulte CodeQL no site do GitHub Security Lab.

Você pode visualizar e contribuir para as consultas do Varredura de código no repositório github/codeql. Para obter mais informações, consulte CodeQL consultas na documentação do CodeQL.

Sobre a cobrança do Varredura de código

Varredura de código usa GitHub Actions, e cada execução de um fluxo de trabalho de Varredura de código consome minutos para GitHub Actions. Para obter mais informações, consulte "Sobre a cobrança do GitHub Actions".

Ferramentas de varredura de código de terceiros

Você pode carregar arquivos SARIF de ferramentas de análise estáticas de terceiros para o GitHub e ver Varredura de código alertas dessas ferramentas no seu repositório.

Varredura de código é interoperável com ferramentas de escaneamento de código de terceiros que saem dados de análise estática de resultados de mudança de formato (SARIF). SARIF é um padrão aberto. Para obter mais informações, consulte "SARIF output for Varredura de código."

Para começar, consulte "Uploading a SARIF file to GitHub."

Leia mais

Pergunte a uma pessoa

Não consegue encontrar o que procura?

Entrar em contato