Nota: Tu administrador de sitio debe habilitar el escaneo de código para tu instancia de GitHub Enterprise Server antes de que puedas utilizar esta característica. Para obtener más información, consulta "Configurar el escaneo de código en tu aplicativo."
Acerca de escaneo de código
Escaneo de código es una característica que utilizas para analizar el código en un repositorio de GitHub para encontrar vulnerabilidades de seguridad y errores de código. Cualquier problema que se identifique con el análisis se muestra en GitHub Enterprise Server.
Puedes utilizar escaneo de código para encontrar, clasificar y priorizar los arreglos a problemas existentes en tu código. Escaneo de código también previene a los desarrolladores de introducir nuevos problemas. Puedes programar días y horas específicos para los escaneos, o activarlos cuando ocurra un evento específico en el repositorio, tal como una carga de información.
Si escaneo de código encuentra una vulnerabilidad potencial o un error en tu código, GitHub mostrará una alerta en el repositorio. GitHub cerrará la alerta una vez que arregles el código que la activó. Para obtener más información, consulta la sección "Administrar las alertas de escaneo de código para tu repositorio".
Para monitorear los resultados del escaneo de código a lo largo de tus repositorios o de tu organización, puedes utilizar webhooks y la API del escaneo de código. Para obtener más información sobre los webhooks para el escaneo de código, consulta la sección Cargas útiles y eventos de webhook". Para obtener más información sobre las terminales de la API, consulta la sección "Escaneo de código".
Para iniciar con el escaneo de código, consulta la sección "Configurar el escaneo de código en un repositorio".
Acerca de las herramientas para el escaneo de código
Puedes configurar el escaneo de código para utilizar el producto de CodeQL que mantiene GitHub o una herramienta de escaneo de código de un tercero.
Acerca del análisis de CodeQL
CodeQL es el motor de análisis de código que desarrolló GitHub para automatizar las verificaciones de seguridad. Puedes analizar tu código utilizando CodeQL y mostrando los resultados como alertas del escaneo de código. Para obtener más información sobre CodeQL, consulta la sección "Acerca del escaneo de código con CodeQL".
Acerca de las herramientas del escaneo de código de terceros
Escaneo de código es interoperable con herramientas de escaneo de código de terceros que producen datos de Formato de Intercambio de Resultado de Análisis (SARIF). SARIF es un estándar de código abierto. Para obtener más información, consulta la sección "Resultados de SARIF para escaneo de código".
Puedes ejecutar herramientas de análisis de terceros dentro de GitHub Enterprise Server utilizando acciones o dentro de un sistema de IC externo. Para obtener más información, consulta la sección "Configurar el escaneo de código para un repositorio" o la sección "Cargar un archivo SARIF a GitHub".