Acerca de code scanning
Code scanning es una característica que se usa para analizar el código en un repositorio de GitHub para buscar vulnerabilidades de seguridad y errores de código. Los problemas identificados por el análisis se muestran en el repositorio.
Puedes configurar el code scanning para ejecutar los análisis del CodeQL y de terceros. El Code scanning también admite la ejecución del análisis de forma nativa mediante GitHub Actions, o bien de forma externa con la infraestructura de CI/CD existente externamente. Las siguientes viñetas resumen las opciones disponibles para los usuarios cuando configuras tu instancia de GitHub Enterprise Server para que permita el code scanning utilizando acciones.
- CodeQL : usa GitHub Actions con la configuración predeterminada (consulta "Establecimiento de la configuración predeterminada para el examen del código") o la configuración avanzada (consulta "Establecimiento de la configuración avanzada para el examen del código"), o bien ejecuta el análisis de CodeQL en un sistema de integración continua (CI) de terceros (consulta "Utilizar el análisis de código de CodeQL con tu sistema de IC existente").
- Terceros: usa GitHub Actions o herramientas de terceros y carga los resultados a GitHub Enterprise Server (consulta "Subir un archivo SARIF a GitHub").
Verificar si tu licencia incluye a la GitHub Advanced Security
Puedes identificar si tu empresa tiene una licencia de GitHub Advanced Security revisando los ajustes de la misma. Para obtener más información, vea «Habilitación de GitHub Advanced Security para su empresa».
Prerequisitos para el code scanning
-
Una licencia para GitHub Advanced Security (consulta "Acerca de la facturación de GitHub Advanced Security")
-
Code scanning habilitado en la consola de administración (consulta "Habilitación de GitHub Advanced Security para su empresa")
-
Una MV o contenedor para ejecutar el análisis de code scanning.
Ejecutar el code scanning utilizando GitHub Actions
Aprovisionamiento de un ejecutor de prueba interna
GitHub Enterprise Server puede ejecutar code scanning mediante un flujo de trabajo GitHub Actions. Primero, necesitas aprovisionar uno o más ejecutores auto-hospedados de GitHub Actions en tu ambiente. Puedes aprovisionar ejecutores auto-hospedados a nivel de repositorio, organización o empresa. Consulte “Acerca de los ejecutores autohospedados” y “Agrega ejecutores auto-hospedados”.
Si va a aprovisionar un ejecutor de prueba interna para el análisis de CodeQL, el ejecutor debe usar una versión del sistema operativo y una arquitectura de CPU compatibles con CodeQL. Consulte Requisitos del sistema de CodeQL.
Si usas la configuración predeterminada para el code scanning, asigna la etiqueta code-scanning
al ejecutor autohospedado. Para obtener más información sobre el uso de etiquetas con ejecutores de prueba interna, consulte "Uso de etiquetas con ejecutores autohospedados". Para obtener más información sobre el uso de la configuración predeterminada para el análisis de código de lenguajes compilados, consulte "Análisis de código de CodeQL para lenguajes compilados".
Debes asegurarte de que Git esté en la variable de "PATH" de cualquier ejecutor auto-hospedado que utilices para ejecutar las acciones de CodeQL.
Nota: Si utiliza la code scanning CodeQL para analizar código escrito en Python en su empresa, debe asegurarse de que el ejecutor de prueba interna tiene Python 3 instalado.
Aprovisionamiento de un conjunto de escalado de ejecutores
Puedes usar Actions Runner Controller para crear un conjunto de escalado de ejecutores dedicado para la instancia GitHub Enterprise Server. Consulte "Implementación de conjuntos de escalado de ejecutor con Actions Runner Controller".
Aprovisionar las acciones del code scanning
Si quiere usar acciones para ejecutar code scanning en GitHub Enterprise Server, las acciones deben estar disponibles en el dispositivo.
La acción CodeQL se incluye en tu instalación de GitHub Enterprise Server. Si tanto GitHub Enterprise Server 3.14 como tu ejecutor GitHub Actions tienen acceso a Internet, la acción descargará automáticamente la agrupación de CodeQL 2.17.6 necesaria para realizar el análisis. Como alternativa, puedes utilizar una herramienta de sincronización para que el conjunto de análisis de CodeQL esté disponible de forma local. Consulte "Configurar el análisis de CodeQL en un servidor sin acceso a internet" a continuación.
También puedes hacer que acciones de terceros estén disponibles para el code scanning para los usuarios si configuras GitHub Connect. Vea "Configuración la digitalización de código para el dispositivo" a continuación.
Configurar el análisis de CodeQL en un servidor sin acceso a internet
Si el servidor en el que estás ejecutando a GitHub Enterprise Server no está conectado a internet y quieres permitir que los usuarios habiliten el code scanning de CodeQL para sus repositorios, debes utilizar la herramienta de sincronización de la acción de CodeQL para copiar el paquete de análisis de CodeQL desde GitHub.com hacia tu servidor. La herramienta y los detalles de cómo usarla están disponibles en https://github.com/github/codeql-action-sync-tool.
Si configuras la herramienta de sincronización de la acción de CodeQL, puedes utilizarla para sincronizar los últimos lanzamientos de la acción de CodeQL y el paquete de análisis de CodeQL relacionado. Estos son compatibles con GitHub Enterprise Server.
Configurar GitHub Connect para sincronizarse con GitHub Actions
- Si quieres descargar flujos de trabajo de acciones por petición desde GitHub.com, necesitarás habilitar GitHub Connect. Consulte "Enabling GitHub Connect for GitHub.com".
- También deberás habilitar GitHub Actions. Consulte "Iniciar con GitHub Actions para GitHub Enterprise Server".
- El siguiente paso es configurar el acceso a las acciones en GitHub.com utilizando GitHub Connect. Consulte "Habilitación del acceso automático a las acciones de GitHub.com mediante GitHub Connect".
- Agrega un ejecutor auto-hospedado a tu repositorio, organización, o cuenta empresarial. Consulte "Agrega ejecutores auto-hospedados".
Ejecutar el escaneo de código utilizando el CodeQL CLI
Si no quieres utilizar GitHub Actions, debes ejecutar el code scanning utilizando el CodeQL CLI.
El CodeQL CLI es una herramienta de línea de comandos que utilizas para analizar bases de código en cualquier máquina, incluyendo un sistema de IC/DC de terceros. Consulte "Utilizar el análisis de código de CodeQL con tu sistema de IC existente".