Acerca del escaneo de código de CodeQL en tu sistema de IC

Puedes analizar tu código con CodeQL en un sistema de integración contínua de terceros y cargar los resultados a GitHub.com. Las alertas del escaneo de código resultantes se muestran junto con cualquier alerta que se genere dentro de GitHub.

El Escaneo de código se encuentra disponible para todos los repositorios públicos y para los privados que pertenecen a organizaciones en donde se habilitó la GitHub Advanced Security. Para obtener más información, consulta la sección "Acerca de GitHub Advanced Security".

Acerca del escaneo de código de CodeQL en tu sistema de IC

Escaneo de código es una característica que utilizas para analizar el código en un repositorio de GitHub para encontrar vulnerabilidades de seguridad y errores de código. Cualquier problema que se identifique con el análisis se muestra en GitHub. Para obtener más información, consulta la sección "Acerca del escaneo de código con CodeQL".

Puedes ejecutar el escaneo de código de CodeQL dentro de GitHub utilizando GitHub Actions. Como alternativa, si utilizas un sistema de integración o despliegue/entrega contínua (IC/ID) de terceros, puedes ejecutar un análisis de CodeQL en tu sistema existente y cargar los resultados a GitHub.com.

Puedes agregar el CodeQL CLI a tu sistema de terceros y luego llamar a la herramienta para analizar código y cargar los resultados de SARIF a GitHub. Las alertas del escaneo de código resultantes se muestran junto con cualquier alerta que se genere dentro de GitHub. Para obtener más información, consulta la sección "Acerca del escaneo de código de CodeQL en tu sistema de IC."

Nota: El cargar datos de SARIF para mostrarlos como resultados del escaneo de código eb GitHub es compatible para los repositorios que pertenezcan a organizaciones con la GitHub Advanced Security habilitada, y para los repositorios públicos en GitHub.com. Para obtener más información, consulta la sección "Administrar la configuración de seguridad y análisis para tu repositorio".

Acerca de CodeQL CLI

El CodeQL CLI es un producto independiente que puedes utilizar para analizar código. Su propósito principal es generar una representación de base de datos de una base de código, una base de datos de CodeQL. Una vez que esté lista la base de datos, puedes consultarla interactivamente o ejecutar una suite de consultas para generar un conjunto de resultados en formato SARIF y cargarlos a GitHub.com.

Utiliza el CodeQL CLI para analizar:

  • Lenguajes dinámicos, por eje mplo, JavaScript y Python.
  • Lenguajes compilados, por ejemplo, C/C++, C# y Java.
  • Bases de código escritas en varios lenguajes.

Para obtener más información, consulta la sección "Instalar el CodeQL CLI en tu sistema de IC".

Nota: El CodeQL CLI se puede usar gratuitamente en los repositorios públicos que se mantienen en GitHub.com y está disponible para utilizarse en los repositorios privados que pertenezcan a los clientes con una licencia de la Advanced Security. Para obtener información, consulta la sección "Términos y condiciones del CodeQL de GitHub" y CLI de CodeQL".

¿Te ayudó este documento?

Política de privacidad

¡Ayúdanos a hacer geniales estos documentos!

Todos los documentos de GitHub son de código abierto. ¿Notas algo que esté mal o que no sea claro? Emite una solicitud de cambios.

Haz una contribución

O, aprende cómo contribuir.