Introdução
Imagine que você é o administrador do GitHub para um projeto e deseja garantir que o código não inclua nenhuma vulnerabilidade ou erros de segurança. Pode ser muito demorado verificar sua base de código de forma manual, especialmente se for grande. Sua empresa acabou de adquirir uma licença do GitHub Advanced Security que ajuda a economizar tempo e esforço, permitindo que você use a varredura de código. Com a verificação de código, você recebe alertas que indicam qualquer código problemático. Em seguida, você pode encontrar rapidamente as áreas problemáticas e fazer as alterações necessárias. Para habilitar a varredura de código, você precisa saber quais ferramentas estão disponíveis e quais são seus recursos. Você também precisa entender com que frequência realizar a varredura de código e os tipos de eventos que você pode usar para acionar varreduras.
Este módulo apresenta a varredura de código e seus recursos. Você aprenderá a implementar a verificação de código utilizando CodeQL, ferramentas de terceiros e GitHub Actions. Você também aprenderá sobre as diferentes maneiras de configurar a varredura de código para otimizar sua experiência.
Objetivos de aprendizagem
Depois de concluir este módulo, você poderá:
- Descreva a verificação de código.
- Listar as etapas para habilitar a verificação de código em um repositório.
- Listar as etapas para habilitar a verificação de código com análise de terceiros.
- Compare como implementar a análise do CodeQL em um fluxo de trabalho do GitHub Actions versus uma ferramenta de integração contínua (CI) de terceiros.
- Explicar como configurar a verificação de código em um repositório usando o gatilho de eventos.
- Comparar a frequência dos fluxos de trabalho de verificação de código (agendado versus disparados por eventos).
Pré-requisitos
- Uma conta do GitHub
- Familiaridade com o gerenciamento de configurações administrativas do GitHub
- Conhecimento básico do GitHub Actions