Esta versión de GitHub Enterprise se discontinuó el 2021-09-23. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener un mejor desempeño, más seguridad y nuevas características, actualiza a la última versión de GitHub Enterprise. Para obtener ayuda con la actualización, contacta al soporte de GitHub Enterprise.

Acerca del escaneo de código

Puedes utilizar escaneo de código para encontrar vulnerabilidades de seguridad y errores en el código de tu proyecto en GitHub.

El Escaneo de código se encuentra disponible si tienes una licencia de GitHub Advanced Security.

Nota: El Escaneo de código se encuentra en beta dentro de GitHub Enterprise Server 2.22. Para encontrar un lanzamiento de disponibilidad general del escaneo de código, mejora al último lanzamiento de GitHub Enterprise Server.

Nota: Tu administrador de sitio debe habilitar el escaneo de código para tu instancia de GitHub Enterprise Server antes de que puedas utilizar esta característica. Para obtener más información, consulta "Configurar el escaneo de código en tu aplicativo."

Acerca de escaneo de código

Escaneo de código es una característica que utilizas para analizar el código en un repositorio de GitHub para encontrar vulnerabilidades de seguridad y errores de código. Cualquier problema que se identifique con el análisis se muestra en GitHub Enterprise Server.

Puedes utilizar escaneo de código para encontrar, clasificar y priorizar los arreglos a problemas existentes en tu código. Escaneo de código también previene a los desarrolladores de introducir nuevos problemas. Puedes programar días y horas específicos para los escaneos, o activarlos cuando ocurra un evento específico en el repositorio, tal como una carga de información.

Si escaneo de código encuentra una vulnerabilidad potencial o un error en tu código, GitHub mostrará una alerta en el repositorio. GitHub cerrará la alerta una vez que arregles el código que la activó. Para obtener más información, consulta la sección "Administrar las alertas de escaneo de código para tu repositorio".

Para monitorear los resultados del escaneo de código a lo largo de tus repositorios o de tu organización, puedes utilizar webhooks y la API del escaneo de código. Para obtener más información sobre los webhooks para el escaneo de código, consulta la sección Cargas útiles y eventos de webhook". Para obtener más información sobre las terminales de la API, consulta la sección "Escaneo de código".

Para iniciar con el escaneo de código, consulta la sección "Configurar el escaneo de código en un repositorio".

Acerca de CodeQL

Puedes ver y contribuir con las consultas para escaneo de código en el repositorio github/codeql. CodeQL trata el código como datos, lo cual te permite encontrar vulenrabilidades potenciales en tu código con más confianza que en los anallizadores estáticos trandicionales.

QLEs el lenguaje de consulta que impulsa a CodeQL. QL es un lenguaje de programación lógico orientado a objetos. GitHub, los expertos del lenguaje, y los investigadores de seguridad crean las consultas que se utilizan para escaneo de código, y éstas son de código abierto. La comunidad mantiene y actualiza estas consultas para mejorar el análisis y reducir los falsos positivos. Para obtener más información, consulta la sección CodeQL en el sitio web de GitHub Security Lab.

Para obtener más información acerca de las terminales de la API para escaneo de código, consulta la sección "Escaneo de código".

  • C/C++
  • C#
  • Go
  • Java
  • JavaScript/TypeScript
  • Python

Puedes ver y contribuir con las consultas para escaneo de código en el repositorio github/codeql. Para obtener más información, consulta la sección CodeQL queries en la documentación de CodeQL.

Acerca de las herramientas de escaneo de código de terceros

Puedes cargar archivos SARIF de herramientas de análisis estático de terceros a GitHub y ver las alertas de escaneo de código en tu repositorio.

Escaneo de código es interoperable con herramientas de escaneo de código de terceros que producen datos de Formato de Intercambio de Resultado de Análisis (SARIF). SARIF es un estándar de código abierto. Para obtener más información, consulta la sección "Resultados de SARIF para escaneo de código".

Para comenzar, consulta la sección "Subir un archivo SARIF a GitHub".

Leer más