Skip to main content

Acerca del examen de código

Puedes utilizar code scanning para encontrar vulnerabilidades de seguridad y errores en el código de tu proyecto en GitHub.

¿Quién puede utilizar esta característica?

Code scanning está disponible para repositorios que son propiedad de una organización en GitHub Enterprise Server. Esta característica requiere una licencia para la GitHub Advanced Security. Para obtener más información, vea «Acerca de GitHub Advanced Security».

Nota: El administrador del sitio debe habilitar code scanning antes de que pueda utilizar esta característica. Para obtener más información, vea «Configuración la digitalización de código para el dispositivo».

Es posible que no puedas habilitar o deshabilitar code scanning si un propietario de una empresa ha establecido una directiva GitHub Advanced Security (GHAS) en el nivel empresarial. Para obtener más información, vea «Aplicación de directivas de seguridad y análisis de código de la empresa».

Code scanning es una característica que se usa para analizar el código en un repositorio de GitHub para buscar vulnerabilidades de seguridad y errores de código. Los problemas identificados por el análisis se muestran en el repositorio.

Puedes utilizar code scanning para encontrar, clasificar y priorizar los arreglos a problemas existentes en tu código. Code scanning también previene a los desarrolladores de introducir nuevos problemas. Puede programar los análisis para días y horas concretos, o bien desencadenarlos cuando se produzca un evento específico en el repositorio, como una inserción.

Si code scanning encuentra una vulnerabilidad potencial o un error en tu código, GitHub mostrará una alerta en el repositorio. GitHub cerrará la alerta una vez que arregles el código que la activó. Para obtener más información, vea «Administración de alertas de examen de código para el repositorio».

Para monitorear los resultados del code scanning a lo largo de tus repositorios o de tu organización, puedes utilizar webhooks y la API del code scanning. Para información sobre los webhooks para code scanning, consulta "Eventos y cargas de webhook". Para información sobre los puntos de conexión de API, consulta "Puntos de conexión de la API de REST para el análisis de código".

Para empezar a trabajar con code scanning, consulta "Establecimiento de la configuración predeterminada para el examen del código".

Acerca de las herramientas para el code scanning

Puedes configurar el code scanning para utilizar el producto de CodeQL que mantiene GitHub o una herramienta de code scanning de un tercero.

Acerca del análisis de CodeQL

CodeQL es el motor de análisis de código que desarrolló GitHub para automatizar las verificaciones de seguridad. Puedes analizar tu código utilizando CodeQL y mostrando los resultados como alertas del code scanning. Para más información sobre CodeQL, consulta "Acerca del examen de código con CodeQL".

Acerca de las herramientas del code scanning de terceros

Code scanning es interoperable con herramientas de examen de código de terceros que generan datos de Formato de intercambio de resultados de análisis estáticos (SARIF). SARIF es un estándar de código abierto. Para obtener más información, vea «Soporte de SARIF para escaneo de código».

Puedes ejecutar herramientas de análisis de terceros dentro de GitHub Enterprise Server utilizando acciones o dentro de un sistema de IC externo. Para más información, consulta "Establecimiento de la configuración avanzada para el examen del código" o "Subir un archivo SARIF a GitHub".

Acerca de la página de estado de la herramienta

La página de estado de la herramienta muestra información útil sobre todas las herramientas de examen de código. Si el examen de código no funciona según lo esperado, la página de estado de la herramienta es un buen punto de partida para depurar los problemas. Para obtener más información, consulta "Acerca de la página de estado de la herramienta para el examen de código".