Nota: El administrador del sitio debe habilitar code scanning antes de que pueda utilizar esta característica. Para obtener más información, vea «Configuración la digitalización de código para el dispositivo».
Es posible que no puedas habilitar o deshabilitar code scanning si un propietario de una empresa ha establecido una directiva GitHub Advanced Security (GHAS) en el nivel empresarial. Para obtener más información, vea «Aplicación de directivas de seguridad y análisis de código de la empresa».
Acerca de la página de estado de la herramienta
La página de estado de la herramienta muestra información útil sobre todas las herramientas de code scanning. Si code scanning no funciona como cabría esperar, página de estado de la herramienta es un buen punto de partida para los problemas de depuración.
Con página de estado de la herramienta, puedes ver cómo funcionan las herramientas de examen de código para un repositorio, cuándo se examinaron los archivos del repositorio por primera vez y más recientemente, y cuándo están programados los exámenes. Para herramientas integradas comoCodeQL, también puedes ver información más detallada, incluido un porcentaje de archivos examinados y mensajes de error específicos.
También puedes ver las reglas con las que se comprobó el código por cada configuración de una herramienta code scanning y descargar un resumen de los resultados.
Nota: página de estado de la herramienta muestra cómo funcionan las herramientas en el nivel de repositorio, no en el nivel de organización. El estado de la herramienta solo se muestra para la rama predeterminada del repositorio para la que está configurada esa herramienta.
Visualización de página de estado de la herramienta para un repositorio
La página de alertas de examen de código de cada repositorio incluye un banner de herramientas con un resumen del estado del análisis de examen de código y acceso a página de estado de la herramienta para explorar la configuración.
- En GitHub, navegue hasta la página principal del repositorio.
- En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad.
- En la barra lateral izquierda, haz clic en Code scanning.
- Haz clic en Estado de la herramienta en el banner de herramientas.
Uso de página de estado de la herramienta
En página de estado de la herramienta, verás un resumen de una herramienta, resaltada en la barra lateral. Puedes usar la barra lateral para ver los resúmenes de las distintas herramientas.
Para herramientas integradas, como CodeQL, puedes ver un porcentaje total de todos los archivos examinados más recientemente en el repositorio, organizados por lenguaje de programación. Para obtener información sobre los archivos que se consideran examinados por CodeQL, consulta "Definición de archivos examinados por CodeQL". También puedes descargar informes de lenguaje detallados en formato CSV. Para obtener más información, consulta "Descarga de detalles de los archivos analizados".
Los tres estados posibles de las herramientas son: todas las configuraciones funcionan, algunas configuraciones necesitan atención y algunas configuraciones no funcionan.
Acceso a información detallada sobre las herramientas
Si deseas ver información más detallada para la herramienta que se muestra actualmente, puedes seleccionar una configuración específica en "Tipos de instalación".
En "Configuraciones" a la izquierda de la pantalla, puedes ver información para cada análisis ejecutado por este tipo de configuración y los mensajes de error pertinentes. Para ver información detallada sobre la ejecución de análisis más reciente, selecciona una configuración en la barra lateral. Puedes descargar detalles de qué reglas se ejecutaron exactamente en ese examen del código y cuántas alertas encontró cada regla. Para obtener más información, consulta "Descarga de listas de reglas usadas".
Esta vista también mostrará mensajes de error. Para obtener más información, consulta "Depuración mediante la página de estado de la herramienta".
Definición de archivos examinados por CodeQL
Un archivo se notifica como examinado por CodeQL si se procesaron algunas de las líneas de código de ese archivo. Si usas una configuración estándar de la acción CodeQL, los archivos examinados que se muestran en página de estado de la herramienta incluirán archivos de código fuente para todos los lenguajes que CodeQL puede analizar. Si usas la configuración avanzada, puedes definir opcionalmente qué archivos de los lenguajes interpretados deben examinarse con las propiedades de configuración paths
y paths-ignore
. Para obtener más información, vea «Acerca del examen de código con CodeQL» y «Personalización de la configuración avanzada para el examen de código».
En el caso de los lenguajes compilados, página de estado de la herramienta informa de los archivos que estaban presentes antes de ejecutar la autocompilación o cualquier paso de compilación manual. Esto significa que los archivos generados durante el proceso de compilación no se muestran en página de estado de la herramienta. Para obtener más información, vea «Análisis de código de CodeQL para lenguajes compilados».
La página de estado de la herramienta calculará el porcentaje de archivos examinados por CodeQL para cada lenguaje admitido por CodeQL. Este porcentaje respeta los archivos excluidos por las propiedades de configuración paths
y paths-ignore
.
Descarga de detalles de los archivos analizados
En el caso de herramientas integradas como CodeQL, puedes descargar informes detallados de página de estado de la herramienta en formato CSV. Se mostrará lo siguiente:
- Qué configuración se usó para examinar cada archivo.
- Ruta de acceso al archivo.
- Lenguaje de programación del archivo.
- Si el archivo se extrajo correctamente.
Para descargar un informe, selecciona una herramienta que te interese. A continuación, en la parte superior derecha de la página, haz clic en el botón .
Descarga de listas de reglas usadas
Puedes descargar la lista de reglas que code scanning está comprobando, en formato CSV. Se mostrará lo siguiente:
- Configuración usada.
- Origen de la regla.
- Identificador SARIF.
- Número de alertas que se encontraron.
Para descargar un informe, selecciona una configuración que te interese. A continuación, haz clic en en la parte superior derecha de la página y selecciona Descarga de lista de reglas usadas.
Eliminación de configuraciones
Puedes quitar configuraciones obsoletas, duplicadas o no deseadas para la rama predeterminada del repositorio.
Para quitar una configuración, selecciona aquella que quieres eliminar. A continuación, haz clic en en la parte superior derecha de la página y selecciona Eliminar configuración. Una vez que hayas leído la advertencia sobre las alertas, haz clic en el botón Eliminar para confirmar la eliminación.
Nota: Solo puedes usar página de estado de la herramienta para quitar configuraciones de la rama predeterminada de un repositorio. Para obtener información sobre cómo quitar configuraciones de las ramas no predeterminadas, consulta "Resolución de alertas de análisis de código".
Depuración mediante página de estado de la herramienta
Si ves que hay un problema con el análisis de la página de alertas de code scanning, puedes usar página de estado de la herramienta para identificar el problema. Para las herramientas integradas, puedes ver mensajes de error específicos en la sección de información detallada, relacionada con las herramientas específicas de code scanning. Estos mensajes de error contienen información sobre por qué es posible que la herramienta no esté funcionando según lo previsto y las acciones que puede realizar. Para obtener más información sobre cómo acceder a esta sección de página de estado de la herramienta, consulta "Acceso a información detallada sobre las herramientas".
En el caso de herramientas integradas, como CodeQL, también puedes usar la información de cobertura de archivos para mejorar el análisis. Para cada idioma mostrado en las variables de datos página de estado de la herramienta:
- Si el idioma tiene un alto porcentaje examinado, esto muestra que el análisis de código es examinar ese idioma según lo previsto.
- Si el lenguaje tiene un porcentaje de análisis bajo, es posible que quieras investigar la salida de diagnóstico generada por CodeQL para ese lenguaje: para más información, consulta "CodeQL examinó menos líneas de lo esperado".
- Si el lenguaje tiene un porcentaje examinado de cero, es posible que tengas código fuente en el repositorio escrito en los lenguajes admitidos por CodeQL, pero que no se analice actualmente con CodeQL. En este caso, es posible que quieras actualizar la configuración para empezar a analizar estos idiomas adicionales. Para obtener más información, vea «Personalización de la configuración avanzada para el examen de código».
Nota: Si has definido una configuración avanzada para CodeQL y, después, has establecido la configuración predeterminada en el mismo repositorio, página de estado de la herramienta solo muestra la configuración predeterminada.
Para obtener más información, vea «Solucionar problemas del escaneo de código» y «Solución de problemas de carga de archivos SARIF».