Esta versão do GitHub Enterprise Server será descontinuada em 2026-03-17. Nenhum lançamento de patch será feito, mesmo para questões críticas de segurança. Para obter melhor desempenho, segurança aprimorada e novos recursos, atualize para a última versão do GitHub Enterprise Server. Para obter ajuda com a atualização, entre em contato com o suporte do GitHub Enterprise.

Como definir a configuração padrão da verificação de código

Configure rapidamente o code scanning para localizar código vulnerável automaticamente.

Quem pode usar esse recurso?

Proprietários de repositórios, proprietários de organizações, gerentes de segurança e usuários com a função de administrador

O Code scanning está disponível para os seguintes tipos de repositório:

  • Repositórios públicos no GitHub.com
  • Repositórios de propriedade da organização em GitHub Team, GitHub Enterprise Cloudou GitHub Enterprise Server, com GitHub Advanced Security habilitados.

Neste artigo

Sobre a configuração padrão

A configuração padrão da code scanning é a maneira mais rápida, mais fácil e de mais baixa manutenção de habilitar a code scanning para seu repositório. Com base no código do repositório, a configuração padrão criará automaticamente uma configuração personalizada da code scanning. Depois de habilitar a configuração padrão, o código escrito nas linguagens compatíveis com o CodeQL em seu repositório será verificado:

  • Em cada push para o branch padrão do repositório ou qualquer branch protegido. Para obter mais informações sobre branches protegidos, consulte Sobre branches protegidos.
  • Ao criar ou se comprometer com uma pull request baseada no branch padrão do repositório, ou em qualquer branch protegido, excluindo pull requests de forks.
  • Em um agendamento semanal.

Observação

Se não houver pushs e pull requests em um repositório com a configuração padrão habilitada por 6 meses, a programação semanal será desabilitada para economizar seus minutos de GitHub Actions.

Você também pode habilitar a configuração padrão para vários repositórios em uma organização ao mesmo tempo. Para obter informações sobre ativação em massa, consulte Como definir a configuração padrão da verificação de código em escala.

Caso você precise ter um controle mais granular sobre a configuração da code scanning, defina a configuração avançada. Para saber mais, confira Como definir a configuração avançada para verificação de código.

Requisitos para usar a configuração padrão

Seu repositório está qualificado para a configuração padrão da code scanning se:

  • GitHub Actions está habilitado.
  • GitHub Advanced Security está habilitado.

É recomendável habilitar a configuração padrão para os repositórios elegíveis se houver alguma chance de que venham a incluir, pelo menos, uma linguagem compatível com o CodeQL no futuro. Se você habilitar a configuração padrão em um repositório que não inclua nenhuma linguagem compatível com o CodeQL, a configuração padrão não executará nenhuma varredura nem usará minutos de GitHub Actions. Se linguagens compatíveis com o CodeQL forem adicionadas ao branch padrão do repositório, a configuração padrão começará automaticamente a varrê-las com o CodeQL e a usar minutos de GitHub Actions. Para obter mais informações sobre as linguagens com suporte no CodeQL, confira Sobre a varredura de código com CodeQL.

Você pode usar a configuração padrão para todas as linguagens com suporte do CodeQL para executores auto-hospedados ou hospedados pelo GitHub. Confira Atribuindo rótulos a executores mais adiante neste artigo.

A instalação padrão usa o modo de compilação none para C# e Java e usa o modo de compilação autobuild para outras linguagens compiladas. Você deve configurar seus executores auto-hospedados para garantir que eles possam executar todos os comandos necessários para análise C/C++, C# e Swift. A análise de código JavaScript/TypeScript, Go, Ruby, Python e Kotlin não requer configuração especial no momento.

Personalizar a configuração padrão

Recomendamos que você comece a usar code scanning com a configuração padrão. Depois de configurar inicialmente a configuração padrão, você pode avaliar code scanning para ver como está funcionando para você. Se você achar que algo não está funcionando como esperado, poderá personalizar a configuração padrão para atender melhor às suas necessidades. Para saber mais, confira Avaliar a configuração padrão para verificação de código.

Sobre como adicionar novos idiomas à configuração padrão

Se o código em um repositório for alterado para incluir qualquer idioma suportado por CodeQL, GitHub atualizará automaticamente a configuração code scanning para incluir o novo idioma. Em caso de falha na code scanning na nova configuração, o GitHub retomará automaticamente a configuração anterior para que o repositório não perca a cobertura da code scanning.

Como definir a configuração padrão de um repositório

Observação

Mesmo que haja falha nas análises para todas as linguagens compatíveis com o CodeQL em um repositório, a configuração padrão será habilitada, mas não executará nenhuma varredura nem usará minutos de GitHub Actions até que outra linguagem compatível com o CodeQL seja adicionada ao repositório ou que a configuração padrão seja redefinida manualmente e a análise de uma linguagem compatível com o CodeQL tenha êxito.

  1. Em GitHub, acesse a página principal do repositório.

    Observação

    Se você estiver definindo uma configuração padrão em um fork, primeiro habilite GitHub Actions. Para habilitar o GitHub Actions, no nome do repositório, clique em Actions e, em seguida, clique em I understand my workflows, go ahead and enable them. Lembre-se de que isso habilitará todos os fluxos de trabalho no fork.

  2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Security" da barra lateral, clique em Code security and analysis.

  4. Na seção "Code scanning", selecione Set up , then click Default.

    Captura de tela da seção "Code scanning" das configurações "Code security and analysis". O botão "Configuração padrão" é realçado com um contorno laranja.

    Em seguida, você verá uma caixa de diálogo "configuração padrão do CodeQL" resumindo a configuração da code scanning criada automaticamente pela configuração padrão.

  5. Como opção, para personalizar a configuração do code scanning, clique em Edit.

    • Para adicionar ou remover uma linguagem da análise executada pela configuração padrão, selecione ou desmarque essa linguagem da seção "Linguagens".
    • Para especificar o pacote de consultas do CodeQL que você gostaria de usar, selecione o conjunto de consultas preferido na seção "Pacotes de consultas".

  6. Revise as definições da configuração padrão no repositório e clique em Habilitar o CodeQL . Isso acionará um fluxo de trabalho que testa a nova configuração gerada automaticamente.

    Observação

    Se você estiver alternando da configuração avançada para a configuração padrão, verá um aviso informando que a configuração padrão substituirá as configurações existentes de code scanning. Esse aviso indica que a configuração padrão desabilitará o arquivo de fluxo de trabalho existente e bloqueará os uploads da API de análise do CodeQL.

  7. Opcionalmente, para ver a configuração padrão após a habilitação, selecione e clique em View CodeQL configuration.

Atribuindo rótulos a executores

Observação

Code scanning vê os executores atribuídos quando a configuração padrão está ativada. Se um executor for atribuído a um repositório que já esteja executando a configuração padrão, você deverá desativar e reativar a configuração padrão para começar a usar o executor. Se você adicionar um executor e quiser começar a usá-lo, poderá alterar a configuração manualmente sem precisar desativar e reativar a configuração padrão.

Você também pode atribuir executores auto-hospedados.com o rótulo code-scanning. Para obter informações sobre como atribuir rótulos a executores autohospedados, consulte Usar rótulos com os executores auto-hospedados.

Próximas etapas

Depois que sua configuração for executada com sucesso, pelo menos, uma vez, você poderá começar a verificar e resolver os alertas da code scanning. Para obter mais informações sobre os alertas de code scanning, consulte Sobre alertas de digitalização de códigos e Avaliar alertas de varredura de código para seu repositório.

Depois de configurar a configuração padrão para code scanning, você pode ler sobre como ela está funcionando para você e as próximas etapas que você pode seguir para personalizá-la. Para saber mais, confira Avaliar a configuração padrão para verificação de código.

Encontre informações detalhadas sobre a configuração da code scanning, incluindo os carimbos de data/hora de cada verificação e o percentual de arquivos verificados, na página de status da ferramenta. Para saber mais, confira Use the tool status page for code scanning.

Ao definir a configuração padrão, você poderá encontrar um erro. Para obter informações sobre como solucionar erros específicos, consulte Solução de problemas de erros de análise.