Acerca del escaneo de código con CodeQL

Puedes utilizar CodeQL para identificar las vulnerabilidades y errores en tu código. Los resultados se muestran como alertas del escaneo de código en GitHub.

El Escaneo de código se encuentra disponible para los repositorios que pertenecen a organizaciones donde se habilitó el GitHub Advanced Security. Para obtener más información, consulta la sección "Acerca de GitHub Advanced Security".

Nota: Tu administrador de sitio debe habilitar el escaneo de código para tu instancia de GitHub Enterprise Server antes de que puedas utilizar esta característica. Para obtener más información, consulta "Configurar el escaneo de código en tu aplicativo."

Acerca de escaneo de código con CodeQL

CodeQL es el motor de análisis de código que desarrolló GitHub para automatizar las verificaciones de seguridad. Puedes analizar tu código utilizando CodeQL y mostrando los resultados como alertas del escaneo de código.

Hay dos formas principales para utilizar el análisis de CodeQL para el escaneo de código:

Acerca de CodeQL

El CodeQL trata el código como datos, permitiéndote encontrar vulnerabilidades potenciales en tu código con mayor confianza que los analizadores estáticos tradicionales.

  1. Generas una base de datos de CodeQL para representar tu base de código.
  2. Entonces, ejecutarás consultas de CodeQL en esa base de datos para identificar problemas en la base de código.
  3. Estos resultados de consulta se muestran como alertas del escaneo de código en GitHub Enterprise Server cuando utilizas al CodeQL con el escaneo de código.

CodeQL es compatible tanto con los lenguajes compilados como con lso interpretados, y puede encontrar vulnerabilidades y errores en el código que se escriba en los lenguajes compatibles.

  • C/C++
  • C#
  • Go
  • Java
  • JavaScript/TypeScript
  • Python

Acerca de las consultas de CodeQL

Los expertos de GitHub, investigadores de seguridad y contribuyentes comunitarios escriben y mantienen las consultas predeterminadas de CodeQL que se utilizan para el escaneo de código. Las consultas se actualizan frecuentemente para mejorar el análisis y reducir cualquier resultado falso positivo. Las consultas son de código abierto, así que puedes ver y contribuir con ellas en el repositorio de github/codeql. Para obtener más información, consulta la sección CodeQL en el sitio web de GitHub Security Lab. También puedes escribir tus propias consultas. Para obtener más información, consulta la sección "Acerca de las consultas de CodeQL" en la documentación de CodeQL.

Puedes ejecutar consultas adicionales como parte de tu análisis de escaneo de código. Estas consultas que quieres ejecutar deben pertenecer al paquete de QL de un repositorio. Las consultas solo deberán depender de las librerías estándar (es decir, aquellas referenciadas por una declaración import LANGUAGE en tu consulta), o de aquellas en el mismo paquete de QL que la consulta. Para obtener más información, consulta la sección "Acerca de los paquetes de QL".

¿Te ayudó este documento?

Política de privacidad

¡Ayúdanos a hacer geniales estos documentos!

Todos los documentos de GitHub son de código abierto. ¿Notas algo que esté mal o que no sea claro? Emite una solicitud de cambios.

Haz una contribución

O, aprende cómo contribuir.