Acerca de la página de estado de la herramienta para el examen de código

La página de estado de la herramienta muestra información útil sobre todas las herramientas de examen de código. Si el examen de código no funciona según lo esperado, la página de estado de la herramienta es un buen punto de partida para depurar los problemas.

¿Quién puede utilizar esta característica?

Code scanning está disponible para todos los repositorios públicos en GitHub.com. Code scanning también está disponible para los repositorios privados que pertenecen a las organizaciones que usan GitHub Enterprise Cloud y que tienen una licencia de GitHub Advanced Security. Para obtener más información, vea «Acerca de GitHub Advanced Security».

En este artículo

Acerca de la página de estado de la herramienta

La página de estado de la herramienta muestra información útil sobre todas las herramientas de code scanning. Si code scanning no funciona como cabría esperar, página de estado de la herramienta es un buen punto de partida para los problemas de depuración.

Con página de estado de la herramienta, puedes ver cómo funcionan las herramientas de examen de código para un repositorio, cuándo se examinaron los archivos del repositorio por primera vez y más recientemente, y cuándo están programados los exámenes. Para herramientas integradas comoCodeQL, también puedes ver información más detallada, incluido un porcentaje de archivos examinados y mensajes de error específicos.

También puedes ver las reglas con las que se comprobó el código por cada configuración de una herramienta code scanning y descargar un resumen de los resultados.

Nota: página de estado de la herramienta muestra cómo funcionan las herramientas en el nivel de repositorio, no en el nivel de organización. El estado de la herramienta solo se muestra para la rama predeterminada del repositorio para la que está configurada esa herramienta.

Visualización de página de estado de la herramienta para un repositorio

La página de alertas de examen de código de cada repositorio incluye un banner de herramientas con un resumen del estado del análisis de examen de código y acceso a página de estado de la herramienta para explorar la configuración.

  1. En GitHub.com, navega a la página principal del repositorio.
  2. En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad.
    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Seguridad" está resaltada con un contorno naranja oscuro.
  3. En la barra lateral izquierda, haz clic en Code scanning.
  4. Haz clic en Estado de la herramienta en el banner de herramientas.
    Captura de pantalla que muestra cómo acceder a la página de estado de la herramienta desde un repositorio. El botón "Estado de la herramienta" está resaltado con un contorno naranja oscuro.

Uso de página de estado de la herramienta

En página de estado de la herramienta, verás un resumen de una herramienta, resaltada en la barra lateral. Puedes usar la barra lateral para ver los resúmenes de las distintas herramientas.

Captura de pantalla que muestra la página de estado de la herramienta, con la herramienta CodeQL seleccionada.

Para herramientas integradas, como CodeQL, puedes ver un porcentaje total de todos los archivos examinados más recientemente en el repositorio, organizados por lenguaje de programación. Para obtener información sobre los archivos que se consideran examinados por CodeQL, consulta "Definición de archivos examinados por CodeQL". También puedes descargar informes de lenguaje detallados en formato CSV. Para obtener más información, consulta "Descarga de detalles de los archivos analizados".

Los tres estados posibles de las herramientas son: todas las configuraciones funcionan, algunas configuraciones necesitan atención y algunas configuraciones no funcionan.

Acceso a información detallada sobre las herramientas

Si deseas ver información más detallada para la herramienta que se muestra actualmente, puedes seleccionar una configuración específica en "Tipos de instalación".

En "Configuraciones" a la izquierda de la pantalla, puedes ver información para cada análisis ejecutado por este tipo de configuración y los mensajes de error pertinentes. Para ver información detallada sobre la ejecución de análisis más reciente, selecciona una configuración en la barra lateral. Puedes descargar detalles de qué reglas se ejecutaron exactamente en ese examen del código y cuántas alertas encontró cada regla. Para obtener más información, consulta "Descarga de listas de reglas usadas".

Captura de pantalla que muestra información detallada sobre CodeQL en la página de estado de la herramienta.

Esta vista también mostrará mensajes de error. Para obtener más información, consulta "Depuración mediante la página de estado de la herramienta".

Definición de archivos examinados por CodeQL

Un archivo se notifica como examinado por CodeQL si se procesaron algunas de las líneas de código de ese archivo. Si usas una configuración estándar de la acción CodeQL, los archivos examinados que se muestran en página de estado de la herramienta incluirán archivos de código fuente para todos los lenguajes que CodeQL puede analizar. Si usas la configuración avanzada, puedes definir opcionalmente qué archivos de los lenguajes interpretados deben examinarse con las propiedades de configuración paths y paths-ignore. Para obtener más información, vea «Acerca del examen de código con CodeQL» y «Personalizar la configuración avanzado de para el análisis de código».

En el caso de los lenguajes compilados, página de estado de la herramienta informa de los archivos que estaban presentes antes de ejecutar la autocompilación o cualquier paso de compilación manual. Esto significa que los archivos generados durante el proceso de compilación no se muestran en página de estado de la herramienta. Para obtener más información, vea «Análisis de código de CodeQL para lenguajes compilados».

La página de estado de la herramienta calculará el porcentaje de archivos examinados por CodeQL para cada lenguaje admitido por CodeQL. Este porcentaje respeta los archivos excluidos por las propiedades de configuración paths y paths-ignore.

Descarga de detalles de los archivos analizados

En el caso de herramientas integradas como CodeQL, puedes descargar informes detallados de página de estado de la herramienta en formato CSV. Se mostrará lo siguiente:

  • Qué configuración se usó para examinar cada archivo.
  • Ruta de acceso al archivo.
  • Lenguaje de programación del archivo.
  • Si el archivo se extrajo correctamente.

Para descargar un informe, selecciona una herramienta que te interese. A continuación, en la parte superior derecha de la página, haz clic en el botón .

Descarga de listas de reglas usadas

Puedes descargar la lista de reglas que code scanning está comprobando, en formato CSV. Se mostrará lo siguiente:

  • Configuración usada.
  • Origen de la regla.
  • Identificador SARIF.
  • Número de alertas que se encontraron.

Para descargar un informe, selecciona una configuración que te interese. A continuación, haz clic en en la parte superior derecha de la página y selecciona Descarga de lista de reglas usadas.

Eliminación de configuraciones

Puedes quitar configuraciones obsoletas, duplicadas o no deseadas para la rama predeterminada del repositorio.

Para quitar una configuración, selecciona aquella que quieres eliminar. A continuación, haz clic en en la parte superior derecha de la página y selecciona Eliminar configuración. Una vez que hayas leído la advertencia sobre las alertas, haz clic en el botón Eliminar para confirmar la eliminación.

Nota: Solo puedes usar página de estado de la herramienta para quitar configuraciones de la rama predeterminada de un repositorio. Para obtener información sobre cómo quitar configuraciones de las ramas no predeterminadas, consulta "Administración de alertas de examen de código para el repositorio".

Depuración mediante página de estado de la herramienta

Si ves que hay un problema con el análisis de la página de alertas de code scanning, puedes usar página de estado de la herramienta para identificar el problema. Para las herramientas integradas, puedes ver mensajes de error específicos en la sección de información detallada, relacionada con las herramientas específicas de code scanning. Estos mensajes de error contienen información sobre por qué es posible que la herramienta no esté funcionando según lo previsto y las acciones que puede realizar. Para obtener más información sobre cómo acceder a esta sección de página de estado de la herramienta, consulta "Acceso a información detallada sobre las herramientas".

En el caso de herramientas integradas, como CodeQL, también puedes usar la información de cobertura de archivos para mejorar el análisis. Para cada idioma mostrado en las variables de datos página de estado de la herramienta:

  • Si el idioma tiene un alto porcentaje examinado, esto muestra que el análisis de código es examinar ese idioma según lo previsto.
  • Si el lenguaje tiene un porcentaje de análisis bajo, es posible que quieras investigar la salida de diagnóstico generada por CodeQL para ese lenguaje: para más información, consulta "CodeQL examinó menos líneas de lo esperado".
  • Si el lenguaje tiene un porcentaje examinado de cero, es posible que tengas código fuente en el repositorio escrito en los lenguajes admitidos por CodeQL, pero que no se analice actualmente con CodeQL. En este caso, es posible que quieras actualizar la configuración para empezar a analizar estos idiomas adicionales. Para obtener más información, vea «Personalizar la configuración avanzado de para el análisis de código».

Nota: Si has definido una configuración avanzada para CodeQL y, después, has establecido la configuración predeterminada en el mismo repositorio, página de estado de la herramienta solo muestra la configuración predeterminada.

Para más información, consulta "Solucionar problemas del escaneo de código" y "Solución de problemas de carga de archivos SARIF".