Visualizar las bitácoras del escaneo de código

Puedes ver la salida que se generó durante el análisis del escaneo de código en GitHub.com.

If you have write permissions to a repository, you can view the escaneo de código logs for that repository.

El Escaneo de código se encuentra disponible para todos los repositorios públicos y para los privados que pertenecen a organizaciones en donde se habilitó la GitHub Advanced Security. Para obtener más información, consulta la sección "Acerca de GitHub Advanced Security".

Acerca de tu configuración del escaneo de código

Puedes utilizar diversas herramientas para configurar el escaneo de código en tu repositorio. Para obtener más información, consulta la sección "Configurar el escaneo de código en un repositorio".

La bitácora y la información diagnóstica que tengas disponible dependerá del método que utilices para el escaneo de código en tu repositorio. Puedes verificar el tipo de escaneo de código que estás utilizando en la pestaña de Seguridad de tu repositorio si utilizas el menú desplegable de Herramienta en la lista de alertas. Para obtener más información, consulta la sección "Administrar las alertas de escaneo de código para tu repositorio".

Acerca del análisis y la información de diagnóstico

Puedes ver la información de análisis y diagnóstico para la jecución del escaneo de código utilizando el análisis de CodeQL en GitHub.

La información de Análisis se muestra para los análisis más recientes en un encabezado en la parte superior de la lista de alertas. Para obtener más información, consulta la sección "Administrar las alertas del escaneo de código para tu repositorio".

Se muestra información de Diagnóstico en las bitácoras del flujo de trabajo de la acción, la cual consiste en un resumen de métricas y diagnóstico de extractor. Para obtener más información sobre cómo acceder a las bitácoras del escaneo de código en GitHub, consulta la sección "Visualizar la salida de registros del escaneo de código" a continuación.

Si estás utilizando el CodeQL CLI fuera de GitHub, verás la información de diagnóstico en la salida que se generó durante el análisis de la base de datos. Esta información también se incluye en el archivo de resultados SARIF que cargaste en GitHub con los resultados del escaneo de código.

Para obtener más información sobre el CodeQL CLI, consulta la sección "Configurar el CodeQL CLI en tu sistema de IC".

Acerca de las métricas de resumen

Las métricas de resumen incluyen:

  • Las líneas de código en la base de código (que se utilizan como línea base), antes de la creación y extracción de la base de datos de CodeQL
  • Las líneas de código en la base de datos de CodeQL que se extrajeron del código, incluyendo las bibliotecas externas y los archivos autogenerados
  • Las líneas de código en la base de datos de CodeQL, excluyendo los archivos autogenerados y las bibliotecas externas

Acerca del diagnóstico de extración del código fuente de CodeQL

El diagnóstico de extractor solo cubre los archivos que se vieron durante el análisis, las métricas incluyen:

  • Cantidad de archivos que se analizaron con éxito
  • Cantidad de archivos que generaron errores de extractor durante la creación de la base de datos
  • Cantidad de archivos que generaron alertas del extractor durante la creación de la base de datos

Visualizar la salida de registro del escaneo de código

Esta sección aplica a la ejecución del escaneo de código utilizando GitHub Actions(de CodeQL o de terceros).

Después de configurar el escaneo de código para tu repositorio, puedes observar la salida de las acciones mientras se ejecutan.

  1. Debajo del nombre de tu repositorio, da clic en Acciones. Pestaña de acciones en la navegación del repositorio principal

    Veràs una lista que incluye una entrada para ejecutar el flujo de trabajo del escaneo de código. El texto de la entrada es el título que le diste a tu mensaje de confirmación.

    Lista de acciones que muestran el flujo de trabajo del escaneo de código

  2. Da clic en la entrada para el flujo de trabajo de escaneo de código.

  3. Da clic en el nombre del job situado a la izquierda. Por ejemplo, Analizar (IDIOMA).

    Registro de salida del flujo de trabajo del escaneo de código

  4. Revisa la salida de registro de las acciones en este flujo de trabajo conforme se ejecutan.

  5. Una vez que todos los jobs se completen, puedes ver los detalles de cualquier alerta del escaneo de código que se hayan identificado. Para obtener más información, consulta la sección "Administrar las alertas de escaneo de código para tu repositorio".

Nota: Si levantaste una solicitud de cambios para agregar el flujo de trabajo del escaneo de código a las alertas del repositorio, las alertas de esa solicitud de cambios no se mostraràn directamente en la pàgina del Escaneo de código hasta que se fusione dicha solicitud. Si se encontrò alguna de las alertas, puedes verlas antes de que se fusione la solicitud de extracciòn dando clic en el enlace de n alertas encontradas en el letrero de la pàgina del Escaneo de código.

Da clic en el enlace de "n alertas encontradas" link

¿Te ayudó este documento?

Política de privacidad

¡Ayúdanos a hacer geniales estos documentos!

Todos los documentos de GitHub son de código abierto. ¿Notas algo que esté mal o que no sea claro? Emite una solicitud de cambios.

Haz una contribución

O, aprende cómo contribuir.