The Wayback Machine - https://web.archive.org/web/20230106021738/https://docs.github.com/pt/code-security/code-scanning/using-codeql-code-scanning-with-your-existing-ci-system/about-codeql-code-scanning-in-your-ci-system
Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para acessar as informações mais atualizadas, visite a Documentação em inglês.
 

 

Sobre a varredura de código de CodeQL no seu sistema de CI

Neste artigo

Você pode analisar o código com CodeQL em um sistema de integração contínua de terceiros e carregar os resultados em GitHub.com. Os alertas de code scanning resultantes são exibidos junto com todos os alertas gerados dentro de GitHub.

Code scanning está disponível para todos os repositórios públicos no GitHub.com. Code scanning também está disponível em repositórios privados pertencentes às organizações que usam o GitHub Enterprise Cloud e têm uma licença do GitHub Advanced Security. Para obter mais informações, confira "Sobre o GitHub Advanced Security".

Sobre CodeQL code scanning no seu sistema de CI

Code scanning é um recurso que você usa para analisar o código em um repositório de GitHub para localizar vulnerabilidades de segurança e erros de codificação. Quaisquer problemas identificados pela análise são exibidos em GitHub. Para obter informações, confira "Sobre a code scanning com o CodeQL".

Você pode executar CodeQL code scanning em GitHub usando GitHub Actions. Como alternativa, se você usar um sistema de integração contínua ou um sistema de entrega/Continuous Delivery (CI/CD) de terceiros você poderá executar a análise CodeQL no seu sistema existente e enviar os resultados para .

Se você adicionar a CodeQL CLI ao seu sistema de terceiros, chame a ferramenta para analisar o código e carregar os resultados em SARIF no GitHub. Os alertas de code scanning resultantes são exibidos junto com todos os alertas gerados dentro de GitHub. Para obter mais informações, confira "Sobre a verificação de código do CodeQL no seu sistema de CI".

Se você executar a verificação de código usando várias configurações, às vezes, um alerta terá várias origens de análise. Se um alerta tiver várias origens de análise, você poderá ver o status do alerta para cada origem de análise na página de alertas. Para obter mais informações, confira "Sobre as origens da análise".

Observação: há suporte para o upload de dados SARIF a serem exibidos como resultados da code scanning no GitHub nos repositórios pertencentes à organização com o GitHub Advanced Security habilitado e em repositórios públicos no GitHub.com. Para obter mais informações, confira "Como gerenciar as configurações de segurança e de análise do seu repositório".

Sobre a CodeQL CLI

O CodeQL CLI é um produto inependente que você pode usar para analisar o código. Seu principal propósito é gerar uma representação do banco de dados de uma base de código, um banco de dados de CodeQL. Assim que o banco de dados estiver pronto, você poderá consultá-lo interativamente, ou executar um conjunto de consultas para gerar um conjunto de resultados no formato SARIF e fazer o upload dos resultados para .

Use CodeQL CLI para analisar:

  • Linguagens dinâmicas, por exemplo, JavaScript e Python.
  • Linguagens compiladas, por exemplo, C/C++, C#, Go e Java.
  • Bases de código em uma mistura de linguagens.

Para obter mais informações, confira "Como instalar a CodeQL CLI no seu sistema de CI".

Observação: O CodeQL CLI é gratuito para uso em repositórios públicos. O CodeQL CLI também está disponível em repositórios privados pertencentes às organizações que usam o GitHub Enterprise Cloud e têm uma licença do GitHub Advanced Security. Para obter informações, confira "Termos e condições do GitHub CodeQL" e "CLI do CodeQL".