Establecimiento de la configuración avanzada del examen de código con CodeQL

Puedes establecer una configuración avanzada para un repositorio con el fin de buscar vulnerabilidades de seguridad en el código usando una configuración del code scanning muy personalizable.

¿Quién puede utilizar esta característica?

People with admin permissions to a repository, or the security manager role for the repository, can enable code scanning for that repository.

Code scanning está disponible para repositorios que son propiedad de una organización en GitHub Enterprise Server. Esta característica requiere una licencia para la GitHub Advanced Security. Para obtener más información, vea «Acerca de GitHub Advanced Security».

En este artículo

Nota: El administrador del sitio debe habilitar code scanning para tu instancia de GitHub Enterprise Server para que puedas utilizar esta característica. Si quieres utilizar GitHub Actions para escanear tu código, el administrador de sitio también puede habilitar las GitHub Actions y configurar la infraestructura que se requiera. Para obtener más información, vea «Configuración la digitalización de código para el dispositivo».

Acerca de la configuración avanzada delcode scanning

La configuración avanzada del code scanning es útil cuando necesita personalizar su code scanning. Mediante la creación y edición de un archivo de flujo de trabajo, puede definir cómo desarrollar lenguajes compilados, elegir las consultas que deben ejecutarse, seleccionar los lenguajes que deben examinarse, usar una compilación de matriz, etc. También tiene acceso a todas las opciones para controlar los flujos de trabajo, por ejemplo: cambiar la programación de examen, definir desencadenadores de flujos de trabajo, especificar los ejecutores especialistas que se van a usar. Para más información sobre los flujos de trabajo de GitHub Actions, consulte "Acerca de los flujos de trabajo".

Su administrador del sitio también puede hacer que acciones de terceros estén disponibles para el code scanning para los usuarios si configura GitHub Connect. Para obtener más información, vea «Configuración la digitalización de código para el dispositivo».

Si ejecutas el análisis de código con varias configuraciones, a veces se generará la misma alerta mediante más de una configuración. Si una alerta proviene de varias configuraciones, puedes ver el estado de la alerta para cada configuración en la página de alertas. Para obtener más información, vea «Acerca de las alertas de análisis de código».

Nota: En este artículo se describen las características disponibles con la versión de la acción CodeQL y el paquete CodeQL CLI asociado que se incluyen en la versión inicial de esta versión de GitHub Enterprise Server. Si en la empresa se usa una versión más reciente de la acción CodeQL, consulta la versión de GitHub Enterprise Cloud de este artículo para obtener información sobre las características más recientes. Para obtener información sobre el uso de la última versión, consulta "Configuración la digitalización de código para el dispositivo."

Si no necesitas una configuración de code scanning muy personalizable, considera la posibilidad de usar la configuración predeterminada para el code scanning. Para obtener más información sobre la configuración predeterminada, consulta "Establecimiento de la configuración predeterminada para el examen del código".

Requisitos previos

El repositorio es válido para una configuración avanzada si cumple estos requisitos.

  • Usa lenguajes compatibles con CodeQL o tienes previsto generar resultados de examen del código con una herramienta de terceros.
  • GitHub Actions está habilitado.
  • GitHub Advanced Security está habilitado.

Si el servidor en el que ejecutas GitHub Enterprise Server no está conectado a Internet, el administrador del sitio puede habilitar CodeQL code scanning de forma que el conjunto de análisis CodeQL esté disponible en el servidor. Para obtener más información, vea «Configuración la digitalización de código para el dispositivo».

Configuración avanzada del code scanning con CodeQL

Puede personalizar sus análisis de CodeQL mediante la creación y edición de un archivo de flujo de trabajo. Al seleccionar la configuración avanzada, se genera un archivo de flujo de trabajo básico para personalizar mediante la sintaxis de flujo de trabajo estándar y se especifican opciones para la acción de CodeQL. Consulta "Acerca de los flujos de trabajo" y "Personalizar la configuración avanzado de para el análisis de código".

  1. En tu instancia de GitHub Enterprise Server, navega a la página principal del repositorio.

  2. En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Seguridad" de la barra lateral, haz clic en Análisis y seguridad del código.

  4. Desplázate hacia abajo hasta la sección "Code scanning", selecciona Configurar y, después, haz clic en Avanzado.

    Nota: Si vas a cambiar de la configuración predeterminada a la configuración avanzada, en la sección "Code scanning", selecciona y haz clic en Cambiar a avanzada. En la ventana emergente que aparece, haga clic en Deshabilitar CodeQL .

    Captura de pantalla de la sección "Code scanning" de la configuración "Seguridad y análisis del código". El botón "Configuración avanzada" está resaltado con un contorno naranja.

  5. Para personalizar la forma en que el code scanning escanea tu còdigo, edita el flujo de trabajo.

    Generalmente, puedes confirmar el Flujo de trabajo de análisis de CodeQL sin hacerle ningún cambio. Pero muchos de los flujos de trabajo de terceros necesitan una configuración adicional, así que lea los comentarios del flujo de trabajo antes de confirmar.

    Para obtener más información, vea «Personalizar la configuración avanzado de para el análisis de código» y «Análisis de código de CodeQL para lenguajes compilados».

  6. Haz clic en Confirmar cambios... para mostrar el formulario de confirmación de cambios.

    Captura de pantalla del formulario para crear un nuevo archivo. A la derecha del nombre de archivo, un botón verde, con la etiqueta "Confirmar cambios...", está resaltado en naranja oscuro.

  7. En el campo de mensaje de confirmación, escribe un mensaje de confirmación.

  8. Elija si quiere confirmar directamente en la rama predeterminada o crear una rama e iniciar una solicitud de incorporación de cambios.

  9. Haz clic en Confirmar nuevo archivo para confirmar el archivo de flujo de trabajo en la rama predeterminada o haz clic en Proponer nuevo archivo para confirmar el archivo en una nueva rama.

  10. Si has creado una nueva rama, haz clic en Crear solicitud de cambios y abre una solicitud de cambios para combinar el cambio en la rama predeterminada.

En el Flujo de trabajo de análisis de CodeQL sugerido, el code scanning se configura para analizar tu código cada vez que envíes un cambio a la rama predeterminada o a cualquier rama protegida, o que emitas una solicitud de incorporación cambios contra la rama predeterminada. Como resultado, el code scanning comenzarà ahora.

Los valores on:pull_request y on:push que se desencadenan para el examen de código son útiles para distintos propósitos. Consulte "Personalizar la configuración avanzado de para el análisis de código" y "Activar un flujo de trabajo".

Para obtener información sobre la habilitación masiva, vea "Establecimiento de la configuración avanzada del examen de código con CodeQL a gran escala".

Pasos siguientes

Después de que el flujo de trabajo se haya ejecutado correctamente al menos una vez, está listo para empezar a examinar y resolver alertas de code scanning. Para obtener más información sobre las alertas del code scanning, consulta "Acerca de las alertas de análisis de código" y "Administración de alertas de examen de código para el repositorio".

Para obtener información sobre cómo se comportan las ejecuciones de code scanning como comprobaciones en las solicitudes de incorporación de cambios, consulte "Clasificar las alertas del escaneo de código en las solicitudes de cambios".

Puedes encontrar información detallada sobre la configuración del code scanning, incluidas las marcas de tiempo de cada examen y el porcentaje de archivos escaneados, en la página de estado de la herramienta. Para obtener más información, vea «Acerca de la página de estado de la herramienta para el examen de código».

Información adicional