Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Gerenciar alertas da varredura de código

Você pode visualizar, corrigir e fechar alertas de possíveis vulnerabilidades ou erros no código do seu projeto.

As pessoas com permissões de gravação em um repositório podem gerenciar os alertas de Varredura de código para o repositório.

Neste artigo

Nota: Varredura de código está atualmente em versão beta e sujeito a alterações. Para solicitar acesso ao beta, join the waitlist.

Sobre os alertas de Varredura de código

Após escanear o seu código usando CodeQL ou fazer o upload dos resultados do Varredura de código a partir da sua ferramenta de análise estática, o GitHub exibirá os alertas no seu repositório.

Os alertas mostram código que pode incluir vulnerabilidades ou erros de segurança. Cada alerta destaca o problema com o código e fornece informações sobre como corrigir o problema. Você pode ver a linha de código que acionou o alerta, bem como propriedades do alerta, como, por exemplo, a gravidade e a natureza do problema. Os alertas também informam quando o problema foi introduzido pela primeira vez.

Exemplo de alerta de Varredura de código

Se você não tomar a ação recomendada pelo alerta, você poderá fechar o alerta manualmente. Por exemplo, você pode fechar um alerta para o código usado para testes ou se você achar que o alerta é um falso positivo. Você também pode querer fechar um alerta se o esforço de corrigir o erro de codificação for maior do que o benefício potencial de melhorar o código.

Por padrão, o GitHub exibe alertas para o branch-padrão e para quaisquer branches protegidos. Você pode classificar e filtrar a lista de alertas para ver apenas os alertas pelos quais você se interessa.

Você pode ver os alertas introduzidos em um pull request e tomar medidas imediatas. Quando Varredura de código encontra vulnerabilidades ou erros em um pull request, GitHub exibe anotações na linha do tempo e nas visualizações diferenciais do pull request.

Varredura de código também irá relatar problemas de fluxo de dados em seu código. A análise do fluxo de dados encontra potenciais problemas de segurança nas bases de código, como, por exemplo, dados usados de modo inseguro, áreas de código onde argumentos perigosos são passados para funções e riscos de vazamento de informações confidenciais.

Quando Varredura de código relata alertas de fluxo de dados, GitHub mostra como os dados se movem através do código. O Varredura de código permite que você identifique as áreas do seu código que vazam informações confidenciais e pode ser o ponto de entrada de ataques de usuários maliciosos.

Você pode carregar arquivos SARIF de ferramentas de análise estáticas de terceiros para o GitHub e ver Varredura de código alertas dessas ferramentas no seu repositório. Para começar, consulte "Uploading a SARIF file to GitHub."

Se você fizer o upload de um arquivo SARIF a partir de uma ferramenta de terceiros ou fizer a varredura do seu código com consultas de CodeQL personalizadas, GitHub só usará as propriedades compatíveis do SARIF 2.1.0 para exibir os alertas. Os resultados de ferramentas de terceiros ou consultas personalizadas podem não incluir todas as propriedades que você vê ao fazer a varredura do seu código usando as consultas-padrão de CodeQL no GitHub. Para obter mais informações, consulte "Suporte SARIF para Varredura de código".

Visualizar um alerta

  1. No GitHub, navegue até a página principal do repositório.
  2. Under your repository name, click Security.
    Guia de segurança
  3. In the left sidebar, click Code scanning alerts. Optionally, select the code scanning tool you used.
    "Code scanning alerts" tab
  4. Em "Code scanning", clique no alerta que desejar visualizar.
    Lista de alertas de Varredura de código
  5. Opcionalmente, se o alerta destaca um problema com o fluxo de dados, clique em Mostrar caminhos para revisar o caminho dos dados.
    Exemplo de alerta de fluxo de dados

Fechar um alerta

  1. No GitHub, navegue até a página principal do repositório.
  2. Under your repository name, click Security.
    Guia de segurança
  3. In the left sidebar, click Code scanning alerts. Optionally, select the code scanning tool you used.
    "Code scanning alerts" tab
  4. Em "Code scanning", clique no alerta que desejar visualizar.
    Lista de alertas de Varredura de código
  5. Use o menu suspenso "Fechar", e clique em um motivo para fechar o alerta.
    Escolher o motivo para fechar o alerta no menu suspenso "Fechar"

Leia mais

Pergunte a uma pessoa

Não consegue encontrar o que procura?

Entrar em contato