Acerca del escaneo de código de CodeQL en tu sistema de IC

En este artículo

Puedes analizar tu código con CodeQL en un sistema de integración continua de terceros y cargar los resultados en GitHub.com. Las alertas del code scanning resultantes se muestran junto con cualquier alerta que se genere dentro de GitHub.

Code scanning está disponible para todos los repositorios públicos en GitHub.com. Code scanning también está disponible para los repositorios privados que pertenecen a las organizaciones que usan GitHub Enterprise Cloud y que tienen una licencia de GitHub Advanced Security. Para obtener más información, vea «Acerca de GitHub Advanced Security».

Acerca del code scanning de CodeQL en tu sistema de IC

Code scanning es una característica que se usa para analizar el código en un repositorio de GitHub para buscar vulnerabilidades de seguridad y errores de código. Cualquier problema que se identifique con el análisis se muestra en GitHub. Para obtener información, consulta "Acerca del examen de código con CodeQL".

Puedes ejecutar el code scanning de CodeQL dentro de GitHub utilizando GitHub Actions. Como alternativa, si utilizas un sistema de integración o implementación/entrega continuas (CI/CD) de terceros, puedes ejecutar un análisis de CodeQL en tu sistema existente y cargar los resultados en GitHub.com.

Puede agregar CodeQL CLI al sistema de terceros y luego llamar a la herramienta para analizar código y cargar los resultados de SARIF en GitHub. Las alertas del code scanning resultantes se muestran junto con cualquier alerta que se genere dentro de GitHub.

Si ejecutas el análisis de código con varias configuraciones, a veces se generará la misma alerta mediante más de una configuración. Si una alerta proviene de varias configuraciones, puedes ver el estado de la alerta para cada configuración en la página de alertas. Para obtener más información, vea «Acerca de las alertas de análisis de código».

Nota: Cargar datos de SARIF para mostrarlos como resultados de code scanning en GitHub es compatible para los repositorios que pertenezcan a organizaciones con la GitHub Advanced Security habilitada y para los repositorios públicos en GitHub.com. Para obtener más información, vea «Administración de la configuración de seguridad y análisis para el repositorio».

Acerca de CodeQL CLI

La CodeQL CLI es una herramienta de línea de comandos independiente que puedes utilizar para analizar código. Su propósito principal es generar una representación de base de datos de una base de código, una base de datos de CodeQL. Una vez que esté lista la base de datos, puedes consultarla interactivamente o ejecutar un varias consultas para generar un conjunto de resultados en formato SARIF y cargarlos a GitHub.com.

Utiliza el CodeQL CLI para analizar:

  • Lenguajes dinámicos, por eje mplo, JavaScript y Python.
  • Lenguajes compilados, por ejemplo, C/C++, C#, Go, y Java.
  • Bases de código escritas en varios lenguajes.

Para obtener más información, vea «Instalar el CLI de CodeQL en tu sistema de IC».

Notas:

  • La CodeQL CLI puede usarse libremente en repositorios públicos. CodeQL CLI también está disponible en los repositorios privados que pertenecen a las organizaciones que usan GitHub Enterprise Cloud y que tienen una licencia de GitHub Advanced Security. Para obtener información, vea "Términos y condiciones de GitHub CodeQL" y "CLI de CodeQL".
  • La CodeQL CLI no es compatible actualmente con distribuciones de Linux que no sean glibc, como Alpine Linux (basado en musl).