Skip to main content

Esta versión de GitHub Enterprise se discontinuará el 2023-01-18. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener rendimiento mejorado, seguridad mejorada y nuevas características, actualice a la versión más reciente de GitHub Enterprise. Para obtener ayuda con la actualización, póngase en contacto con el soporte técnico de GitHub Enterprise.

Configuración del flujo de trabajo de CodeQL para lenguajes compilados

Puedes configurar cómo GitHub utiliza el CodeQL analysis workflow para escanear el código escrito en los lenguajes compilados para las vulnerabilidades y errores.

Who can use this feature

If you have write permissions to a repository, you can configure code scanning for that repository.

Code scanning está disponible para repositorios que son propiedad de una organización en GitHub Enterprise Server. Esta característica requiere una licencia para la GitHub Advanced Security. Para más información, consulte "Acerca de GitHub Advanced Security".

Note: Your site administrator must enable code scanning for your GitHub Enterprise Server instance before you can use this feature. If you want to use GitHub Actions to scan your code, the site administrator must also enable GitHub Actions and set up the infrastructure required. For more information, see "Configuring code scanning for your appliance."

Acerca de CodeQL analysis workflow y los lenguajes compilados

Puedes configurar a GitHub para que ejecute el code scanning en tu repositorio si agregas un flujo de trabajo de GitHub Actions a este. Para CodeQL code scanning, se agregan los datos CodeQL analysis workflow. Para más información, vea "Configuración de code scanning para un repositorio".

Habitualmente, no necesitas editar el flujo de trabajo predeterminado para code scanning. Sin embargo, si lo requieres, puedes editar el flujo de trabajo para personalizar algunos de los ajustes. Por ejemplo, puedes editar el CodeQL analysis workflow de GitHub para especificar la frecuencia de los escaneos, los idiomas o los directorios a escanear, y qué debe buscar el CodeQL del code scanning en tu código. También podrías necesitar editar el CodeQL analysis workflow si utilizas un conjunto de comandos específicos para compilar tu código. Para obtener información general sobre cómo configurar code scanning y editar archivos de flujo de trabajo, vea "Configuración de code scanning" y "Más información sobre GitHub Actions".

Acerca de autobuild para CodeQL

El Code scanning funciona ejecutando consultas en una o varias bases de datos. Cada base de datos contiene una representación de todo el código de tu repositorio en un solo lenguaje.
En los lenguajes compilados C/C++, C#, y Java, el proceso de poblar esta base de datos conlleva compilar el código y extraer los datos. En estos lenguajes, CodeQL analiza los archivos de origen del repositorio que se han compilado. En cualquiera de estos lenguajes, puedes deshabilitar autobuild y, en su lugar, usar comandos de compilación personalizados para analizar solo los archivos compilados con estos comandos personalizados.

Para los lenguajes compilados compatibles, puedes utilizar la acción autobuild en CodeQL analysis workflow para compilar tu código. Esto evita tener que especificar comandos de compilación explícitos para C/C++, C#, y Java.

Si en el flujo de trabajo se usa una matriz language, autobuild intenta compilar cada uno de los lenguajes compilados enumerados en la matriz. Sin una matriz, autobuild intentará compilar el lenguaje compilado compatible que tenga más archivos de código fuente en el repositorio. Con la excepción de Go, el análisis de otros lenguajes compilados en tu repositorio siempre fallará a menos de que proporciones comandos de compilación específicos.

Nota: Si usa ejecutores autohospedados para GitHub Actions, es posible que tenga que instalar software adicional para usar el proceso autobuild. Adicionalmente, si tu repositorio requiere de una versión específica de una herramienta de compilación, tal vez necesites instalarla manualmente. Para más información, vea "Especificaciones para los ejecutores hospedados en GitHub".

C/C++

Tipo de sistema compatibleNombre del sistema
Sistema operativoWindows, macOS y Linux.
Sistema de compilaciónWindows: MSbuild y scripts de compilación
Linux y macOS: Autoconf, Make, CMake, qmake, Meson, Waf, SCons, Linux Kbuild y scripts de compilación

El comportamiento del paso autobuild varía en función del sistema operativo en el que se ejecute la extracción. En Windows, el paso autobuild intenta detectar de forma automática un método de compilación adecuado para C/C++ mediante el enfoque siguiente:

  1. Se invoca MSBuild.exe en el archivo de solución (.sln) o proyecto (.vcxproj) más cercano a la raíz. Si autobuild detecta varios archivos de solución o del proyecto en la misma profundidad (la más corta) con respecto al directorio de nivel superior, intentará compilarlos todos.
  2. Invoque un script similar a un script de compilación:build.bat, build.cmd y build.exe (en ese orden).

En Linux y macOS, el paso autobuild revisa los archivos presentes en el repositorio para determinar el sistema de compilación que usar:

  1. Busca un sistema de compilación en el directorio raíz.
  2. Si no se encuentra ninguno, busca un directorio único en los subdirectorios, el cual cuente con un sistema de compilación para C/C++.
  3. Ejecuta un comando adecuado para configurar el sistema.

C#

Tipo de sistema compatibleNombre del sistema
Sistema operativoWindows y Linux
Sistema de compilación.NET y MSbuild, así como los scripts de compilación

El proceso autobuild intenta detectar de forma automática un método de compilación adecuado para C# mediante el enfoque siguiente:

  1. Se invoca dotnet build en el archivo de solución (.sln) o proyecto (.csproj) más cercano a la raíz.
  2. Se invoca MSbuild (Linux) o MSBuild.exe (Windows) en el archivo de solución o del proyecto más cercano a la raíz. Si autobuild detecta varios archivos de solución o del proyecto en la misma profundidad (la más corta) con respecto al directorio de nivel superior, intentará compilarlos todos.
  3. Se invoca un script similar a un script de compilación: build y build.sh (en ese orden, para Linux), o bien build.bat, build.cmd y build.exe (en ese orden, para Windows).

Java

Tipo de sistema compatibleNombre del sistema
Sistema operativoWindows, macOS, y Linux (sin restricción)
Sistema de compilaciónGradle, Maven y Ant

El proceso autobuild intenta determinar el sistema de compilación para las bases de código de Java mediante la aplicación de esta estrategia:

  1. Busca un archivo de compilación en el directorio raíz. Busca a Gradle en Maven y luego Ant compila los archivos.
  2. Ejecuta el primer archivo de compilación que encuentre. Si tanto los archivos de Gradle como los de Maven están presentes, se utiliza el archivo de Gradle.
  3. De lo contrario, usca los archivos de compilación en los subidrectorios directos del directorio raíz. Si solo un subdirectorio contiene archivos de compilación, ejecuta el primer archivo identificado en este subdirectorio (utilizando la misma preferencia que para 1). Si más de un subdirectorio contiene archivos de compilación, reporta un error.

Agregar pasos de compilación para un lenguaje compilado

Si se produce un error de autobuild o quiere analizar un conjunto diferente de archivos de origen de los compilados por el proceso autobuild, deberá quitar el paso autobuild del flujo de trabajo y agregar manualmente pasos de compilación. Para proyectos de C/C++, C#, Go, y Java, CodeQL analizará el código fuente que creen los pasos de compilación especificados. Para obtener información sobre cómo editar el archivo de flujo de trabajo, vea "Configuración de code scanning".

Después de quitar el paso autobuild, quite la marca de comentario del paso run y agregue comandos de compilación que sean adecuados para el repositorio. El paso run del flujo de trabajo ejecuta herramientas de línea de comandos mediante el shell del sistema operativo. Puede modificar estos comandos y agregar más comandos para personalizar el proceso de compilación.

- run: |
    make bootstrap
    make release

Para más información sobre la palabra clave run, vea "Sintaxis de flujo de trabajo para GitHub Actions".

Si el repositorio contiene varios lenguajes compilados, puede especificar comandos de compilación específicos del lenguaje. Por ejemplo, si el repositorio contiene C/C++, C# y Java, y autobuild compila correctamente C/C++ y C# pero no puede compilar Java, podría usar la configuración siguiente en el flujo de trabajo, después del paso init. Esto especifica los pasos de compilación para Java mientras se sigue usando autobuild para C/C++ y C#:

- if: matrix.language == 'cpp' || matrix.language == 'csharp' 
  name: Autobuild
  uses: github/codeql-action/autobuild@v1

- if: matrix.language == 'java' 
  name: Build Java
  run: |
    make bootstrap
    make release

Para más información sobre el condicional if, vea "Sintaxis de flujo de trabajo para Acciones de GitHub".

Para obtener más sugerencias y trucos sobre por qué autobuild no compilará el código, vea "Solución de problemas del flujo de trabajo de CodeQL".

Si agregas pasos de compilación manualmente para los lenguajes compilados y el code scanning aún no funciona en tu repositorio, contacta a el administrador del sitio.