Escaneamento de Código
Análise automatizada de código para encontrar vulnerabilidades de segurança, bugs e problemas de qualidade de código, tipicamente integrado em pipelines CI/CD.
Definicao
O escaneamento de código é SAST (Static Application Security Testing) integrado em fluxos de trabalho de desenvolvimento. GitHub Code Scanning usa CodeQL, um motor de análise semântica que consulta código como um banco de dados. GitLab tem templates SAST, e plataformas como Snyk e SonarCloud oferecem recursos similares. Escaneamentos executam em pull requests e bloqueiam o merge quando problemas críticos são encontrados.
Por que e importante
O escaneamento de código captura vulnerabilidades antes da produção, quando são mais baratas de corrigir. GitHub Advanced Security encontrou mais de 50.000 CVEs em código open-source. Ao escanear cada PR, times mantêm uma linha base de segurança e previnem regressões.
Exemplo
Um desenvolvedor abre um PR com concatenação SQL. GitHub Code Scanning detecta o risco de injeção SQL, adiciona uma anotação de aviso na linha vulnerável, e bloqueia o merge do PR até o problema ser corrigido.