Establecimiento de la configuración predeterminada para el examen de código a gran escala

Puedes configurar rápidamente el code scanning para los repositorios de toda la organización usando la configuración predeterminada.

¿Quién puede utilizar esta característica?

Propietarios de la organización, administradores de seguridad y miembros de la organización con el rol de administrador

Code scanning está disponible para los tipos de repositorio siguientes:

  • Repositorios públicos en GitHub.com
  • Repositorios propiedad de la organización en GitHub Team o GitHub Enterprise Cloud con GitHub Code Security habilitado

En este artículo

Acerca del establecimiento de la configuración predeterminada a gran escala

La configuración predeterminada para el code scanning permite proteger rápidamente el código de los repositorios de toda la organización.

Puedes habilitar code scanning para todos los repositorios aptos en tu organización para la configuración predeterminada. Después de habilitar la configuración predeterminada, el código escrito en lenguajes compatibles con CodeQL en repositorios de la organización se analizará:

  • En cada envío de cambios a la rama predeterminada del repositorio o cualquier rama protegida. Para más información sobre las ramas protegidas, consulta Acerca de las ramas protegidas.
  • Al crear o confirmar una solicitud de incorporación de cambios basada en la rama por defecto del repositorio, o cualquier rama protegida, excluidas las solicitudes de incorporación de cambios desde bifurcaciones.
  • Según una programación semanal.

Para obtener más información, consulta Establecimiento de la configuración predeterminada para todos los repositorios aptos de una organización.

En el caso de los repositorios que no son aptos para la configuración predeterminada, puedes establecer la configuración avanzada a nivel de repositorio o a nivel de la organización con un script. Para más información, consulta Establecimiento de la configuración avanzada para el examen de código con CodeQL a gran escala.

Repositorios aptos para la configuración predeterminada de CodeQL a gran escala

Un repositorio debe cumplir todos los criterios siguientes para ser aptos para la configuración predeterminada; de lo contrario, debes usar la configuración avanzada.

  • La configuración avanzada para code scanning aún no está habilitada.
  • GitHub Actions están habilitadas.
  • Usa Go, JavaScript/TypeScript, Python o Ruby.
  • GitHub Actions está habilitado.
  • Es visible públicamente o GitHub Code Security se ha habilitado.

Se recomienda habilitar la configuración predeterminada para repositorios aptos si hay alguna posibilidad de que los repositorios incluyan al menos un lenguaje compatible con CodeQL en el futuro. Si habilitas la configuración predeterminada en un repositorio que no incluya ningún lenguaje compatible con CodeQL, la configuración predeterminada no ejecutará ningún análisis ni usará ningún minuto de GitHub Actions. Si los idiomas compatibles con CodeQL se agregan a la reama predeterminada del repositorio, la configuración predeterminada comenzará automáticamente a analizar los idiomas compatibles con CodeQL y a usar minutos de GitHub Actions. Para más Información sobre los lenguajes compatibles con CodeQL, consulta Acerca del examen de código con CodeQL.

Acerca de la adición de lenguajes a una configuración predeterminada

Si el código de un repositorio cambia para incluir un lenguaje compatible con CodeQL, GitHub actualizará automáticamente la configuración de code scanning para incluir el nuevo lenguaje. Si el code scanning da error con la nueva configuración, GitHub reanuda automáticamente la configuración anterior para que el repositorio no pierda la cobertura de code scanning.

Proporcionar acceso de configuración predeterminado a registros privados

Cuando un repositorio usa código almacenado en un registro privado, la configuración predeterminada necesita acceso al registro para que funcione de forma eficaz. Para más información, consulta Concesión de acceso a las características de seguridad a registros privados.

Establecimiento de la configuración predeterminada para todos los repositorios aptos de una organización

Puedes habilitar la configuración predeterminada para todos los repositorios aptos de tu organización. Para más información, consulta Habilitación de características de seguridad a gran escala.

Extensión de la cobertura de CodeQL en la configuración predeterminada

En la página de configuración de seguridad de la organización, puedes extender la cobertura en la configuración predeterminada utilizando paquetes de modelos para todos los repositorios aptos de la organización. Para más información, consulta Editar la configuración predeterminada.

Establecimiento de la configuración predeterminada para un subconjunto de repositorios de una organización

Puedes filtrar por repositorios específicos para los que deseas configurar la configuración predeterminada. Para más información, consulta Aplicación de una configuración de seguridad personalizada.

Configuración de la protección contra la fusión para todos los repositorios de una organización

Puede usar conjuntos de reglas para evitar que las solicitudes de incorporación de cambios se combinen cuando se cumple una de las condiciones siguientes:

  • Una herramienta necesaria encontró una alerta code scanning de una gravedad definida en un conjunto de reglas.

  • Un análisis de la herramienta code scanning requerida todavía está en curso.

  • Una herramienta code scanning requerida no está configurada para el repositorio.

Para más información, consulta Establecimiento de la protección contra la fusión de análisis de códigos. Para obtener información más general sobre los conjuntos de reglas, consulta Acerca de los conjuntos de reglas.