Skip to main content

Conjuntos de consultas codeQL

Puedes elegir entre diferentes conjuntos de consultas de CodeQL integradas para usarlas en la configuración de code scanning de CodeQL.

¿Quién puede utilizar esta característica?

CodeQL está disponible para los siguientes tipos de repositorios:

Acerca de los conjuntos de consultas de CodeQL

Con code scanning de CodeQL, puedes seleccionar un grupo específico de consultas de CodeQL, denominado conjunto de consultas de CodeQL, para ejecutarse en el código. Los siguientes conjuntos de consultas integradas están disponibles mediante GitHub:

  • Conjunto de consultas default.
  • Conjunto de consultas security-extended. Este conjunto de aplicaciones se conoce como conjunto de consultas "Extendido" en GitHub.

Actualmente, los conjuntos de consultas default y security-extended están disponibles para la configuración predeterminada de code scanning. Además, los propietarios de la organización y los administradores de seguridad pueden recomendar un conjunto de consultas para su uso con la configuración predeterminada en toda su organización. Para obtener más información sobre cómo definir la configuración predeterminada para repositorios individuales, consulta "Establecimiento de la configuración predeterminada para el examen del código". Para obtener más información sobre cómo definir la configuración predeterminada a gran escala y recomendar un conjunto de consultas, consulta "Establecimiento de la configuración predeterminada para el examen de código a gran escala".

Para usar un conjunto de consultas personalizado, debes establecer una configuración avanzada para el code scanning de CodeQL. Para más información sobre las configuraciones avanzadas y la creación de un conjunto de consultas, consulta "Establecimiento de la configuración avanzada para el examen del código" y "Creación de conjuntos de consultas de CodeQL".

Conjuntos de consultas de CodeQL integradas

Los conjuntos de consultas de CodeQL integradas, default y security-extended, se crean y mantienen mediante GitHub. Ambos conjuntos de consultas están disponibles para cada lenguaje compatible con CodeQL. Para más Información sobre los lenguajes compatibles con CodeQL, consulta "Acerca del examen de código con CodeQL".

Conjunto de consultas default

  • El conjunto de consultas default es el grupo de consultas que se ejecutan de forma predeterminada en code scanning de CodeQL en GitHub.
  • Las consultas del conjunto de consultas default son muy precisas y devuelven pocos resultados de code scanning falsos positivos. En relación con el conjunto de consultas security-extended, el conjunto default devuelve menos resultados de code scanning con confianza baja.
  • Este conjunto de consultas está disponible para usarlo con la configuración predeterminada de code scanning.

Conjunto de consultas security-extended

  • El conjunto de consultas security-extended consta de todas las consultas del conjunto de consultas default, más otras consultas con una precisión y gravedad ligeramente inferiores.
  • En relación con el conjunto de consultas default, el conjunto security-extended puede devolver un mayor número de resultados de code scanning falsos positivos.
  • Este conjunto de consultas está disponible para su uso con la configuración predeterminada para code scanning y se conoce como el conjunto de consultas "Extendido" en GitHub.

Listas de consultas para los conjuntos de consultas predeterminados

Para cada lenguaje en el siguiente artículo se enumeran las consultas que se incluyen en los conjuntos default y security-extended .

Información adicional