Esta versión de GitHub Enterprise se discontinuó el 2021-09-23. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener un mejor desempeño, más seguridad y nuevas características, actualiza a la última versión de GitHub Enterprise. Para obtener ayuda con la actualización, contacta al soporte de GitHub Enterprise.

Subir un archivo SARIF a GitHub

Puedes cargar archivos SARIF de herramientas de análisis estático de terceros a GitHub y ver las alertas de escaneo de código en tu repositorio.

People with write permissions to a repository can upload escaneo de código data generated outside GitHub.

El Escaneo de código se encuentra disponible si tienes una licencia de GitHub Advanced Security.

Nota: El Escaneo de código se encuentra en beta dentro de GitHub Enterprise Server 2.22. Para encontrar un lanzamiento de disponibilidad general del escaneo de código, mejora al último lanzamiento de GitHub Enterprise Server.

Nota: Tu administrador de sitio debe habilitar el escaneo de código para tu instancia de GitHub Enterprise Server antes de que puedas utilizar esta característica. Para obtener más información, consulta "Configurar el escaneo de código en tu aplicativo."

Acerca de la carga de archivos SARIF para escaneo de código

GitHub crea alertas de escaneo de código en un repositorio utilizando información de los archivos de Formato de Intercambio para Resultados de Análisis Estático (SARIF). El archivo SARIF puede generarse desde una herramienta de análisis compatible con SARIF que ejecutes en el mismo flujo de trabajo de GitHub Actions que utilizaste para cargar el archivo. Como alternativa, cuando se genere el archivo como un artefacto fuera de tu repositorio, puedes cargar el archivo SARIF directamente a algún repositorio y utilizar el flujo de trabajo para subir este archivo. Para obtener más información, consulta la sección "Administrar las alertas de escaneo de código para tu repositorio".

Puedes generar archivos SARIF utilizando muchas herramientas de prueba de seguridad para análisis estático, incluyendo a CodeQL. Para cargar resultados desde herramientas de terceros debes utilizar el Formato de Intercambio para Resultados de Análisis Estático (SARIF) 2.1.0. Para obtener más información, consulta la sección "Soporte de SARIF para escaneo de código".

Puedes cargar los resultados utilizando GitHub Actions (que está disponible si tu organización participa en el programa beta), la API del escaneo de código o el Ejecutor de CodeQL. El mejor método de carga dependerá de cómo generas el archivo SARIF, por ejemplo, si utilizas:

  • GitHub Actions para ejecutar la acción de CodeQL, no hay que hacer nada más. La acción de CodeQL carga el archivo de SARIF automáticamente cuando completa el análisis.
  • "Administrar una ejecución de flujo de trabajo"
  • GitHub mostrará alertas de escaneo de código desde el archivo SARIF cargado en tu repositorio. Si bloqueas la carga automática, cuando estés listo para cargar los resultados, puedes utilizar el comando upload (para obtener más información, consulta la sección "Ejecutar el escaneo de código de CodeQL en tu sistema de IC").
  • Al ser una herramienta que genera resultados como un artefacto fuera de tu repositorio, puedes utilizar la API del escaneo de código para cargar el archivo (Para encontrar más información, consulta la sección "Cargar un análisis como datos de SARIF").

Cargar un análisis de escaneo de código con GitHub Actions

Para cargar un archivo SARIF de terceros a GitHub, necesitarás un flujo de trabajo de GitHub Actions. Para obtener más información, consulta la sección "Aprende sobre las GitHub Actions" y "Aprende sobre las GitHub Actions".

Tu flujo de trabajo necesitará utilizar la acción upload-sarif, que tiene parámetros de entrada que puedes utilizar para configurar la carga. Tiene parámetros de entrada que puedes utilizar para configurar la carga. El parámetro de entrada principal que utilizarás será sarif-file, el cual configura el archivo o directorio de los archivos SARIF a cargar. El directorio o ruta de archivo es relativo a la raíz del repositorio. Para obtener más información, consulta la acción upload-sarif.

La acción upload-sarif puede configurarse para ejecutarse cuando ocurren los eventos push y scheduled. Para obtener más información acerca de los eventos GitHub Actions, consulta la sección Eventos que activan flujos de trabajo".

Si tu archivo SARIF no incluye partialFingerprints, la acción upload-sarif calculará el campo partialFingerprints para ti e intentará prevenir las alertas duplicadas. GitHub solo puede crear partialFingerprints cuando el repositorio contenga tanto el archivo SARIF como el código fuente utilizado en el análisis estático. Para obtener más información sobre cómo prevenir las alertas duplicadas, consulta la sección "Soporte de SARIF para el escaneo de código".

Notas:

  • SARIF upload supports a maximum of 1000 results per upload. Cualquier resultado que sobrepase este límite se ignorará. Si una herramienta genera demasiados resultados, debes actualizar la configuración para enfocarte en los resultados de las reglas o consultas más importantes.

  • For each upload, SARIF upload supports a maximum size of 10 MB for the gzip-compressed SARIF file. Any uploads over this limit will be rejected. If your SARIF file is too large because it contains too many results, you should update the configuration to focus on results for the most important rules or queries.

Ejemplo de flujo de trabajo para los archivos SARIF generados fuera de un repositorio

Puedes crear un nuevo flujo de trabajo que cargue archivos SARIF después de que los confirmes en tu repositorio. Esto es útil cuando el archivo SARIF se genera como un artefacto fuera de tu repositorio.

Este ejemplo de flujo de trabajo se ejecuta cada que las confirmaciones se cargan al repositorio. La acción utiliza la propiedad partialFingerprints para determinar si ha habido cambios. Adicionalmente a ejecutarse cuando se cargan las confirmaciones, el flujo de trabajo se programa para su ejecución una vez por semana. Para obtener más información, consulta "Eventos que activan los flujos de trabajo".

Este flujo de trabajo carga el archivo results.sarif ubicado en la raíz del repositorio. Para obtener más información acerca de cómo crear un archivo de flujo de trabajo, consulta la sección "Aprende sobre las GitHub Actions".

Como alternativa, puedes modificar este flujo de trabajo para cargar un directorio de archivos SARIF. Por ejemplo, puedes colocar todos los archivos SARIF en un directorio en la raíz de tu repositorio, el cual se llame sarif-output y configurar el parámetro de entrada de la acción sarif_file como sarif-output.

name: "Upload SARIF"

# Run workflow each time code is pushed to your repository and on a schedule.
# The scheduled workflow runs every Friday at 15:45 UTC.
on:
  push:
  schedule:
    - cron: '45 15 * * 5'

jobs:
  build:
    runs-on: ubuntu-latest
    steps:
      # This step checks out a copy of your repository.
      - name: Checkout repository
        uses: actions/checkout@v2
      - name: Upload SARIF file
        uses: github/codeql-action/upload-sarif@v1
        with:
          # Path to SARIF file relative to the root of the repository
          sarif_file: results.sarif

Ejemplo de flujo de trabajo que ejecuta la herramienta de análisis ESLint

Si generas tu archivo SARIF de terceros como parte de un flujo de trabajo de integración contínua (IC), puedes agregar la acción upload-sarif como un paso después de ejecutar tus pruebas de IC. Si aún no tienes un flujo de trabajo de IC, puedes crearlo utilizando una plantilla de GitHub Actions. Para obtener más información, consulta la "guía rápida de GitHub Actions".

Este ejemplo de flujo de trabajo se ejecuta cada que las confirmaciones se cargan al repositorio. La acción utiliza la propiedad partialFingerprints para determinar si ha habido cambios. Adicionalmente a ejecutarse cuando se cargan las confirmaciones, el flujo de trabajo se programa para su ejecución una vez por semana. Para obtener más información, consulta "Eventos que activan los flujos de trabajo".

El flujo de trabajo muestra un ejemplo de ejecución de la herramienta de análisis estático ESLint como un paso en un flujo de trabajo. El paso Run ESLint ejecuta la herramienta ESLint y da como salida el archivo results.sarif. El flujo de trabajo entonces carga el archivo results.sarif a GitHub utilizando la acción upload-sarif. Para obtener más información acerca de cómo crear un archivo de flujo de trabajo, consulta la sección "Introducción a Github Actions".

name: "ESLint analysis"

# Run workflow each time code is pushed to your repository and on a schedule.
# The scheduled workflow runs every Monday at 15:45 UTC.
on:
  push:
  schedule:
    - cron: '45 15 * * 1'

jobs:
  build:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v2
      - name: Run npm install
        run: npm install
      # Runs the ESlint code analysis
      - name: Run ESLint
        # eslint exits 1 if it finds anything to report
        run: node_modules/.bin/eslint build docs lib script spec-main -f node_modules/@microsoft/eslint-formatter-sarif/sarif.js -o results.sarif || true
      # Uploads results.sarif to GitHub repository using the upload-sarif action
      - uses: github/codeql-action/upload-sarif@v1
        with:
          # Path to SARIF file relative to the root of the repository
          sarif_file: results.sarif

Leer más