Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Gerenciar alertas da varredura de código

Você pode visualizar, corrigir e fechar alertas de possíveis vulnerabilidades ou erros no código do seu projeto.

As pessoas com permissões de gravação em um repositório podem gerenciar os alertas de Varredura de código para o repositório.

Neste artigo

Did this doc help you?

Nota: Varredura de código está atualmente em versão beta e sujeito a alterações. To request access to the beta, join the waitlist.

Sobre os alertas de Varredura de código

Depois que você habilitar o Varredura de código, GitHub exibirá alertas do Varredura de código no seu repositório. Para obter mais informações, consulte "Habilitando Varredura de código.

Cada alerta destaca um problema com o código e o nome da ferramenta que o identificou. Você pode ver a linha de código que acionou o alerta, bem como propriedades do alerta, como, por exemplo, a gravidade e a natureza do problema. Os alertas também informam quando o problema foi introduzido pela primeira vez. Para os alertas identificados pela análise do CodeQL , você também verá informações sobre como corrigir o problema.

Exemplo de alerta de Varredura de código

Se você não tomar a ação recomendada pelo alerta, você poderá fechar o alerta manualmente. Por exemplo, você pode fechar um alerta para o código usado para testes ou se você achar que o alerta é um falso positivo. Você também pode querer fechar um alerta se o esforço de corrigir o erro de codificação for maior do que o benefício potencial de melhorar o código.

Por padrão, o GitHub exibe alertas para o branch-padrão e para quaisquer branches protegidos. Você pode classificar e filtrar a lista de alertas para ver apenas os alertas pelos quais você se interessa.

Você pode ver os alertas introduzidos em um pull request e tomar medidas imediatas. Quando Varredura de código encontra vulnerabilidades ou erros em um pull request, GitHub exibe anotações na linha do tempo e nas visualizações diferenciais do pull request.

Se você habilitar o Varredura de código usando CodeQL, isso também poderá detectar problemas no fluxo de dados no seu código. A análise do fluxo de dados encontra potenciais problemas de segurança no código, tais como: usar dados de forma insegura, passar argumentos perigosos para funções e vazar informações confidenciais.

Quando Varredura de código relata alertas de fluxo de dados, GitHub mostra como os dados se movem através do código. Varredura de código permite que você identifique as áreas do seu código que vazam informações confidenciais que poderia ser o ponto de entrada para ataques de usuários maliciosos.

Você pode carregar arquivos SARIF de ferramentas de análise estáticas de terceiros para o GitHub e ver Varredura de código alertas dessas ferramentas no seu repositório. Para começar, consulte "Uploading a SARIF file to GitHub."

Se você fizer a varredura do seu código usando uma ferramenta de terceiros ou fizer a varredura do seu código com consultas personalizadas de CodeQL, GitHub só usará as propriedades compatíveis do SARIF 2.1.0 para exibir alertas. Os resultados de ferramentas de terceiros ou consultas personalizadas podem não incluir todas as propriedades que você vê ao fazer a varredura do seu código usando as consultas-padrão de CodeQL no GitHub. Para obter mais informações, consulte "Suporte SARIF para Varredura de código".

Visualizar um alerta

  1. No GitHub, navegue até a página principal do repositório.
  2. Under your repository name, click Security.
    Guia de segurança
  3. In the left sidebar, click Code scanning alerts. Optionally, select the code scanning tool you used.
    "Code scanning alerts" tab
  4. Em "Code scanning", clique no alerta que desejar visualizar.
    Lista de alertas de Varredura de código
  5. Opcionalmente, se o alerta destaca um problema com o fluxo de dados, clique em Mostrar caminhos para revisar o caminho dos dados.
    Exemplo de alerta de fluxo de dados

Fechar um alerta

  1. No GitHub, navegue até a página principal do repositório.
  2. Under your repository name, click Security.
    Guia de segurança
  3. In the left sidebar, click Code scanning alerts. Optionally, select the code scanning tool you used.
    "Code scanning alerts" tab
  4. Em "Code scanning", clique no alerta que desejar visualizar.
    Lista de alertas de Varredura de código
  5. Use o menu suspenso "Fechar", e clique em um motivo para fechar o alerta.
    Escolher o motivo para fechar o alerta no menu suspenso "Fechar"

Leia mais

Did this doc help you?