Como definir a configuração padrão da verificação de código

Configure rapidamente o code scanning para localizar e corrigir código vulnerável automaticamente.

Quem pode usar esse recurso?

Proprietários de repositórios, proprietários de organizações, gerentes de segurança e usuários com a função de administrador

O Code scanning está disponível para os seguintes tipos de repositório:

  • Repositórios públicos no GitHub.com
  • Repositórios de propriedade da organização em GitHub Team, GitHub Enterprise Cloudou GitHub Enterprise Server, com GitHub Code Security habilitados.

Neste artigo

Sobre a configuração padrão

A configuração padrão da code scanning é a maneira mais rápida, mais fácil e de mais baixa manutenção de habilitar a code scanning para seu repositório. Com base no código do repositório, a configuração padrão criará automaticamente uma configuração personalizada da code scanning. Depois de habilitar a configuração padrão, o código escrito nas linguagens compatíveis com o CodeQL em seu repositório será verificado:

  • Em cada push para o branch padrão do repositório ou qualquer branch protegido. Para obter mais informações sobre branches protegidos, consulte Sobre branches protegidos.
  • Ao criar ou se comprometer com uma pull request baseada no branch padrão do repositório, ou em qualquer branch protegido, excluindo pull requests de forks.
  • Em um agendamento semanal.

Observação

Se não houver pushs e pull requests em um repositório com a configuração padrão habilitada por 6 meses, a programação semanal será desabilitada para economizar seus minutos de GitHub Actions.

Você também pode habilitar a configuração padrão para vários repositórios em uma organização ao mesmo tempo. Para obter informações sobre ativação em massa, consulte Como definir a configuração padrão da verificação de código em escala.

Caso você precise ter um controle mais granular sobre a configuração da code scanning, defina a configuração avançada. Para saber mais, confira Como definir a configuração avançada para verificação de código.

Requisitos para usar a configuração padrão

Seu repositório está qualificado para a configuração padrão da code scanning se:

  • GitHub Actions está habilitado.
  • Publicamente visível, ou o GitHub Code Security está habilitado.

É recomendável habilitar a configuração padrão para os repositórios elegíveis se houver alguma chance de que venham a incluir, pelo menos, uma linguagem compatível com o CodeQL no futuro. Se você habilitar a configuração padrão em um repositório que não inclua nenhuma linguagem compatível com o CodeQL, a configuração padrão não executará nenhuma varredura nem usará minutos de GitHub Actions. Se linguagens compatíveis com o CodeQL forem adicionadas ao branch padrão do repositório, a configuração padrão começará automaticamente a varrê-las com o CodeQL e a usar minutos de GitHub Actions. Para obter mais informações sobre as linguagens com suporte no CodeQL, confira Sobre a varredura de código com CodeQL.

Você pode usar a configuração padrão para todas as linguagens com suporte do CodeQL para executores auto-hospedados ou hospedados pelo GitHub. Confira Atribuindo rótulos a executores mais adiante neste artigo.

A instalação padrão usa o modo de compilação none para C/C++, C#, Java e Rust e usa o modo de compilação autobuild para outras linguagens compiladas. Você deve configurar seus executores auto-hospedados para garantir que eles possam executar todos os comandos necessários para análise C/C++, C# e Swift. A análise de código JavaScript/TypeScript, Go, Ruby, Python e Kotlin não requer configuração especial no momento.

Personalizar a configuração padrão

Recomendamos que você comece a usar code scanning com a configuração padrão. Depois de configurar inicialmente a configuração padrão, você pode avaliar code scanning para ver como está funcionando para você. Se você achar que algo não está funcionando como esperado, poderá personalizar a configuração padrão para atender melhor às suas necessidades. Para saber mais, confira Avaliar a configuração padrão para verificação de código.

Sobre como adicionar novos idiomas à configuração padrão

Se o código em um repositório for alterado para incluir qualquer idioma suportado por CodeQL, GitHub atualizará automaticamente a configuração code scanning para incluir o novo idioma. Em caso de falha na code scanning na nova configuração, o GitHub retomará automaticamente a configuração anterior para que o repositório não perca a cobertura da code scanning.

Como definir a configuração padrão de um repositório

Observação

Mesmo que haja falha nas análises para todas as linguagens compatíveis com o CodeQL em um repositório, a configuração padrão será habilitada, mas não executará nenhuma varredura nem usará minutos de GitHub Actions até que outra linguagem compatível com o CodeQL seja adicionada ao repositório ou que a configuração padrão seja redefinida manualmente e a análise de uma linguagem compatível com o CodeQL tenha êxito.

  1. Em GitHub, acesse a página principal do repositório.

    Observação

    Se você estiver definindo uma configuração padrão em um fork, primeiro habilite GitHub Actions. Para habilitar o GitHub Actions, no nome do repositório, clique em Actions e, em seguida, clique em I understand my workflows, go ahead and enable them. Lembre-se de que isso habilitará todos os fluxos de trabalho no fork.

  2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Security" da barra lateral, clique em Advanced Security.

  4. Em "Code Security", à direita de "CodeQL analysis", selecione Set up , then click Default.

    Captura de tela da seção "Code scanning" das configurações "Advanced Security". O botão "Configuração padrão" é realçado com um contorno laranja.

    Em seguida, você verá uma caixa de diálogo "configuração padrão do CodeQL" resumindo a configuração da code scanning criada automaticamente pela configuração padrão.

  5. Como opção, para personalizar a configuração do code scanning, clique em Edit.

    • Para adicionar ou remover uma linguagem da análise executada pela configuração padrão, selecione ou desmarque essa linguagem da seção "Linguagens".
    • Para especificar o pacote de consultas do CodeQL que você gostaria de usar, selecione o conjunto de consultas preferido na seção "Pacotes de consultas".

  6. Revise as definições da configuração padrão no repositório e clique em Habilitar o CodeQL . Isso acionará um fluxo de trabalho que testa a nova configuração gerada automaticamente.

    Observação

    Se você estiver alternando da configuração avançada para a configuração padrão, verá um aviso informando que a configuração padrão substituirá as configurações existentes de code scanning. Esse aviso indica que a configuração padrão desabilitará o arquivo de fluxo de trabalho existente e bloqueará os uploads da API de análise do CodeQL.

  7. Opcionalmente, para ver a configuração padrão após a habilitação, selecione e clique em View CodeQL configuration.

Atribuindo rótulos a executores

Observação

Code scanning vê os executores atribuídos quando a configuração padrão está ativada. Se um executor for atribuído a um repositório que já esteja executando a configuração padrão, você deverá desativar e reativar a configuração padrão para começar a usar o executor. Se você adicionar um executor e quiser começar a usá-lo, poderá alterar a configuração manualmente sem precisar desativar e reativar a configuração padrão.

Você também pode atribuir executores auto-hospedados. com o rótulo padrão code-scanning, ou, opcionalmente, você pode atribuir rótulos personalizados para que repositórios individuais possam usar executores diferentes. Para obter informações sobre como atribuir rótulos a executores autohospedados, consulte Usar rótulos com os executores auto-hospedados.

A especificação de rótulos personalizados para executores auto-hospedados é opcional. A menos que você tenha um caso de uso específico, recomendamos que você atribua apenas executores com o rótulo padrão code-scanning. Por exemplo, talvez você queira:

  • Atribua executores auto-hospedados mais poderosos a repositórios críticos para uma análise mais rápida de code scanning.
  • Execute suas análises de code scanning em uma plataforma específica (por exemplo, macOS).
  • Tenha controle granular sobre a carga de trabalho para seus runners hospedados em GitHub e runners auto-hospedados.

Depois de atribuir rótulos personalizados aos executores auto-hospedados, seus repositórios podem usar esses executores para a configuração padrão de code scanning. Para obter mais informações, consulte Definindo as configurações padrão de um repositório no início deste artigo.

Você também pode usar security configurations para atribuir rótulos a executores auto-hospedados para code scanning. Confira Criando uma configuração de segurança personalizada.

Atribuindo executores avançados

Para atribuir um executor avançado, nomeie o executor code-scanning. Isso adicionará automaticamente o rótulo code-scanning ao executor avançado. Uma organização só pode ter um executor avançado com o rótulo code-scanning, e esse executor manipulará todos os trabalhos de code scanning de repositórios dentro de sua organização com acesso ao grupo do executor. Confira Configurando executores maiores para configuração padrão.

Próximas etapas

Depois que sua configuração for executada com sucesso, pelo menos, uma vez, você poderá começar a verificar e resolver os alertas da code scanning. Para obter mais informações sobre os alertas de code scanning, consulte Sobre alertas de digitalização de códigos e Avaliar alertas de varredura de código para seu repositório.

Depois de configurar a configuração padrão para code scanning, você pode ler sobre como ela está funcionando para você e as próximas etapas que você pode seguir para personalizá-la. Para saber mais, confira Avaliar a configuração padrão para verificação de código.

Encontre informações detalhadas sobre a configuração da code scanning, incluindo os carimbos de data/hora de cada verificação e o percentual de arquivos verificados, na página de status da ferramenta. Para saber mais, confira Usar a página de status da ferramenta para verificação de código.

Ao definir a configuração padrão, você poderá encontrar um erro. Para obter informações sobre como solucionar erros específicos, consulte Troubleshooting code scanning analysis errors.