A Code scanning é um recurso que você usa para analisar o código em um repositório GitHub para encontrar vulnerabilidades de segurança e erros de codificação. Os problemas que forem identificados pela análise serão mostrados em seu repositório.
Você pode usar code scanning para localizar, fazer triagem e priorizar correções para problemas existentes em seu código. Code scanning também impede que os desenvolvedores introduam novos problemas. Você pode agendar verificações para dias e horas específicos ou disparar verificações quando um evento específico ocorrer no repositório, como um push.
Se code scanning encontrar uma possível vulnerabilidade ou erro em seu código, GitHub exibirá um alerta no repositório. Depois de corrigir o código que disparou o alerta, GitHub feche o alerta. Para saber mais, confira Resolver alertas de varredura de código.
Autofixo do GitHub Copilot sugerirá correções para alertas da code scanning análise, permitindo que os desenvolvedores evitem e reduzam vulnerabilidades com menos esforço. Para saber mais, confira [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/responsible-use-autofix-code-scanning).
Para monitorar resultados de code scanning entre seus repositórios ou em sua organização, você pode usar webhooks e o code scanning API. Para obter informações sobre os webhooks para code scanning, consulte Eventos e cargas de webhook. Para obter informações sobre os pontos de extremidade da API, consulte Pontos de extremidade da API REST para varredura de código.
Code scanning usa GitHub Actions, com cada execução de fluxo de trabalho consumindo GitHub Actions minutos. Se você quiser usar code scanning em repositórios privados, precisará de uma GitHub Code Security licença. Para saber mais, confira [AUTOTITLE](/billing/managing-billing-for-github-actions/about-billing-for-github-actions). Para obter informações sobre como é possível testar o GitHub Advanced Security de forma gratuita, confira [AUTOTITLE](/billing/managing-billing-for-your-products/managing-billing-for-github-advanced-security/setting-up-a-trial-of-github-advanced-security).
Se você quiser avaliar a exposição da sua organização a vulnerabilidades antes de comprar uma licença, poderá executar uma versão gratuita code security risk assessment. Consulte Avaliação de risco de segurança de código.
Para começar com code scanning, consulte Como definir a configuração padrão da verificação de código.
Sobre ferramentas para code scanning
Você pode configurar code scanning para usar o produto CodeQL mantido por GitHub ou por uma ferramenta de terceiros code scanning.
Sobre análise CodeQL
CodeQL é o mecanismo de análise de código desenvolvido por GitHub para automatizar verificações de segurança. Você pode analisar seu código usando CodeQL e exibir os resultados como alertas de code scanning. Para obter mais informações sobre CodeQL, consulte [AUTOTITLE](/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning-with-codeql).
Sobre ferramentas de code scanning terceiros
A Code scanning é interoperável com ferramentas de verificação de código de terceiros que geram dados SARIF (Static Analysis Results Interchange Format). SARIF é um padrão aberto. Para saber mais, confira Suporte SARIF para a varredura de código.
Você pode executar ferramentas de análise de terceiros GitHub por meio de ações ou dentro de um sistema de CI externo. Para saber mais, confira Como definir a configuração avançada para verificação de código ou Fazer o upload de arquivo SARIF para o GitHub.
Sobre o página de status da ferramenta
O elemento página de status da ferramenta mostra informações úteis sobre todas as suas ferramentas de verificação de código. Se a verificação de código não estiver funcionando como você esperaria, a página de status da ferramenta será um bom ponto de partida para depurar problemas. Para saber mais, confira Usar a página de status da ferramenta para verificação de código.