Quando você começar a usar code scanningpela primeira vez, provavelmente usará a configuração padrão. Este guia descreve como avaliar como a configuração code scanning padrão está funcionando para você e quais etapas tomar se algo não estiver funcionando como você espera. Este guia também descreve como você pode personalizar code scanning se descobrir que você tem um caso de uso específico que sua nova configuração não se encaixa.
Personalizar code scanning
Ao configurar a instalação padrão pela primeira vez, ou após uma análise inicial do código, você poderá editar quais as configurações padrão de linguagem que serão analisadas e o conjunto de consultas que será executado durante a análise. O conjunto de consultas default contém um conjunto de consultas que são cuidadosamente projetadas para procurar os problemas de segurança mais relevantes, minimizando os resultados falsos positivos. No entanto, você pode usar o pacote security-extended para executar consultas adicionais, que têm precisão um pouco menor. Para saber mais sobre os pacotes de consultas disponíveis, confira Conjuntos de consultas CodeQL.
Para saber mais sobre como personalizar a configuração padrão, confira Editar as definições da configuração padrão.
Usar a configuração avançada
Se você descobriu que ainda precisa de um controle mais granular sobre code scanning, pode usar a configuração avançada. A configuração avançada requer um esforço significativamente maior para configurar, personalizar e manter. Dessa forma, recomendamos habilitar a configuração padrão primeiro. Para saber mais sobre a configuração avançada, confira Como definir a configuração avançada para verificação de código e Opções de configuração de fluxo de trabalho para verificação de código.
Avaliando code scanning com o página de status da ferramenta
Mostra página de status da ferramenta informações úteis sobre todas as suas code scanning ferramentas. Você pode usá-lo para investigar se ferramentas individuais estão funcionando para um repositório, quando os arquivos no repositório foram verificados pela primeira vez e mais recentemente e quando as próximas verificações são agendadas. Também é um ponto de partida útil para depurar problemas.
Usando o página de status da ferramenta, você pode baixar a lista de regras que code scanning está verificando, no formato CSV. Para ferramentas integradas como CodeQL, você também pode ver informações mais detalhadas, incluindo uma porcentagem de arquivos verificados e mensagens de erro específicas.
Se você descobrir que a configuração padrão não examina todos os seus arquivos, talvez seja necessário personalizar code scanning. Para saber mais, confira Personalizar a verificação de código neste artigo. Como alternativa, ou se algo mais não estiver funcionando como você espera, nossa documentação de solução de problemas dedicada poderá ser útil. Para obter mais informações, consulte Solução de erros de análise de escaneamento de código.
Para obter informações mais detalhadas sobre o página de status da ferramenta, consulte Usar a página de status da ferramenta para verificação de código.