Sobre a configuração padrão
A configuração padrão da code scanning é a maneira mais rápida, mais fácil e de mais baixa manutenção de habilitar a code scanning para seu repositório. Com base no código do repositório, a configuração padrão criará automaticamente uma configuração personalizada da code scanning. Depois de habilitar a configuração padrão, o código escrito em linguagens compatíveis com CodeQL no seu repositório será verificado usando CodeQL:
- Em cada push para o branch padrão do repositório ou qualquer branch protegido. Para obter mais informações sobre branches protegidos, consulte Sobre branches protegidos.
- Ao criar ou se comprometer com uma pull request baseada no branch padrão do repositório, ou em qualquer branch protegido, excluindo pull requests de forks.
- Em um agendamento semanal.
Idiomas com suporte
É recomendável habilitar a configuração padrão para os repositórios elegíveis se houver alguma chance de que venham a incluir, pelo menos, uma linguagem compatível com o CodeQL no futuro. Se você habilitar a configuração padrão em um repositório que não inclua nenhuma linguagem compatível com o CodeQL, a configuração padrão não executará nenhuma varredura nem usará minutos de GitHub Actions. Se linguagens compatíveis com o CodeQL forem adicionadas ao branch padrão do repositório, a configuração padrão começará automaticamente a varrê-las com o CodeQL e a usar minutos de GitHub Actions. Para obter mais informações sobre as linguagens com suporte no CodeQL, confira Sobre a varredura de código com CodeQL.
Se o código em um repositório for alterado para incluir qualquer idioma suportado por CodeQL, GitHub atualizará automaticamente a configuração code scanning para incluir o novo idioma. Em caso de falha na code scanning na nova configuração, o GitHub retomará automaticamente a configuração anterior para que o repositório não perca a cobertura da code scanning.
Personalização da configuração padrão
Depois de executar uma análise inicial do código com a configuração padrão, você pode fazer alterações na configuração para atender melhor às suas necessidades.
Caso você precise ter um controle mais granular sobre a configuração da code scanning, defina a configuração avançada.
Opções de configuração
Para configurações existentes de configuração padrão, você pode editar:
- Quais linguagens a configuração padrão analisará
- O conjunto de consultas é executado durante a análise. Para saber mais sobre os pacotes de consultas disponíveis, confira Conjuntos de consultas CodeQL.
- Os modelos de risco (beta) a serem usados para análise. Sua escolha de modelo de risco determina quais fontes de dados afetados são tratadas como um risco para seu aplicativo. Durante o beta, os modelos de risco são compatíveis somente com a análise de Java/Kotlin e C#. Para obter mais informações sobre modelos de risco, consulte Como incluir fontes locais de dados afetados na configuração padrão.
Se sua base de código depender de uma biblioteca ou estrutura que não seja reconhecida pelas bibliotecas padrão incluídas com o CodeQL, você também poderá estender a cobertura do CodeQL na configuração padrão usando pacotes de modelos do CodeQL. Para obter mais informações, consulte Como estender a cobertura do CodeQL com pacotes de modelos do CodeQL na configuração padrão.
Executores disponível
Você pode usar a configuração padrão para todos as linguagens compatíveis com CodeQL em executores auto-hospedados ou executores hospedados em GitHub.
Você pode atribuir executores auto-hospedados para configuração padrão, dando aos executores o rótulo code-scanning.
Sobre a configuração avançada
A configuração avançada da code scanning é útil quando você precisa personalizar a code scanning. Você pode configurar code scanning com GitHub Actions ou um sistema externo de integração contínua ou CI/CD (entrega contínua/implantação contínua).
Se você executar a verificação de código usando várias configurações, algumas vezes um alerta terá várias origens de análise. Se um alerta tiver várias origens de análise, você poderá ver o status do alerta para cada origem de análise na página de alertas. Para saber mais, confira Sobre alertas de digitalização de códigos.
Com GitHub Actions
Ao criar e editar um arquivo de fluxo de trabalho GitHub Actions, você pode definir como compilar linguagens, escolher quais consultas executar, selecionar os idiomas a serem analisados, usar uma compilação em matriz e muito mais. Você também tem acesso a todas as opções para controlar fluxos de trabalho, por exemplo: alterar o cronograma de varredura, definir gatilhos de fluxo de trabalho, especificar executores especializados para usar.
Seu administrador de site também pode disponibilizar ações de terceiros para os usuários de code scanning, configurando GitHub Connect. Para saber mais, confira Como configurar a verificação de código do seu dispositivo.
Com um sistema de CI/CD de terceiros
Como alternativa à execução de code scanning em GitHub usando GitHub Actions, você pode analisar o código em um sistema de CI/CD externo e carregar os resultados em GitHub.
A CodeQL CLI é uma ferramenta de linha de comando autônoma que você pode usar para analisar o código. Você pode adicionar a CodeQL CLI ao seu sistema de terceiros ou usar outra ferramenta de análise estática de terceiros que possa produzir resultados como dados SARIF (Static Analysis Results Interchange Format) 2.1.0. Para saber mais, confira Sobre a CLI do CodeQL e Suporte SARIF para a varredura de código.
Alertas para code scanning que você gera externamente são exibidos da mesma forma que os alertas para code scanning que você gera dentro de GitHub.
Próximas etapas
Você pode habilitar a configuração padrão para um único repositório, vários repositórios ou todos os repositórios em uma organização ao mesmo tempo.
- Para um único repositório, consulte Como definir a configuração padrão da verificação de código.
- Para habilitação em massa, consulte Como definir a configuração padrão da verificação de código em escala.
Para configurar a configuração avançada, consulte Como definir a configuração avançada para verificação de código.