Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.
All products
Seguridad de código

Esta versión de GitHub Enterprise se discontinuó el 2023-03-15. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener rendimiento mejorado, seguridad mejorada y nuevas características, actualice a la versión más reciente de GitHub Enterprise. Para obtener ayuda con la actualización, póngase en contacto con el soporte técnico de GitHub Enterprise.

Acerca de las alertas de análisis de código

In this article

Obtén información sobre los diferentes tipos de alertas de análisis de código y la información que te ayuda a comprender el problema que resalta cada alerta.

está disponible para repositorios que son propiedad de una organización en GitHub Enterprise Server. Esta característica requiere una licencia para la GitHub Advanced Security. Para obtener más información, vea «About GitHub Advanced Security».

Nota: El administrador del sitio debe habilitar code scanning para tu instancia de GitHub Enterprise Server para puedas utilizar esta característica. Para obtener más información, vea «Configurar el escaneo de código para tu aplicativo».

Acerca de las alertas de code scanning

Puedes configurar el code scanning para comprobar el código en un repositorio utilizando el análisis predeterminado de CodeQL, un análisis de terceros o varios tipos de análisis. Cuando se complete el análisis, las alertas resultantes se mostrarán unas junto a otras en la vista de seguridad del repositorio. Los resultados de las herramientas de terceros o de las consultas personalizadas podrían no incluir todas las propiedades que ves para las alertas que se detectan con el análisis predeterminado del CodeQL de GitHub. Para más información, consulta "Configuración de code scanning para un repositorio".

Predeterminadamente, el code scanning analiza tu código periódicamente en la rama predeterminada y durante las solicitudes de cambios. Para obtener información sobre cómo administrar alertas en una solicitud de incorporación de cambios, vea "Evaluación de prioridades de las alertas de code scanning en las solicitudes de incorporación de cambios".

Acerca de los detalles de la alerta

Cada alerta resalta un problema en el código y el nombre de la herramienta que lo identificó. Puedes ver la línea de código que ha desencadenado la alerta, así como las propiedades de la misma, tales como la gravedad de alerta, la gravedad de seguridad y la naturaleza del problema. Las alertas también te dicen si el problema se introdujo por primera vez. Para las alertas que identificó el análisis de CodeQL, también verás información de cómo arreglar elproblema.

Alerta de ejemplo de code scanning

Si configuras code scanning mediante CodeQL, también puede encontrar problemas de flujo de datos en el código. El análisis de flujo de datos encuentra problemas de seguridad potenciales en el código, tales como: utilizar los datos de formas no seguras, pasar argumentos peligrosos a las funciones y tener fugas de información sensible.

Cuando code scanning reporta alertas de flujo de datos, GitHub te muestra como se mueven los datos a través del código. El te permite identificar las áreas de tu código que filtran información sensible y que podrían ser el punto de entrada para los ataques que hagan los usuarios malintencionados.

Acerca de los niveles de gravedad

Los niveles de gravedad de la alerta pueden ser Error, Warning o Note.

Si code scanning está habilitado como una comprobación de solicitud de incorporación de cambios, se producirá un error en la comprobación si detecta resultados con una gravedad de error. Puedes especificar qué nivel de gravedad de las alertas de análisis de código provocan un error de comprobación. Para más información, consulta "Personalización de code scanning".

Acerca de los niveles de gravedad

El muestra los niveles de gravedad de seguridad para las alertas que generan las consultas de seguridad. Los niveles de gravedad de seguridad pueden ser Critical, High, Medium o Low.

Para calcular la gravedad de seguridad de una alerta, utilizamos los datos del Sistema de Puntuación para Vulnerabilidades Comunes (CVSS). El CVSS es un marco de trabajo de código abierto para comunicar las características y gravedad de las vulnerabilidades de software y otros productos de seguridad lo utilizan habitualmente para puntuar las alertas. Para más información sobre cómo se calculan los niveles de gravedad, vea esta entrada de blog.

De manera predeterminada, cualquier resultado de code scanning con una gravedad de seguridad de Critical o High provocará un error de comprobación. Puede especificar qué nivel de gravedad de seguridad para los resultados de code scanning debe provocar un error de comprobación. Para más información, consulta "Personalización de code scanning".

Acerca de las etiquetas para las alertas que no se encuentran en el código de la aplicación

GitHub Enterprise Server asigna una etiqueta de categoría a las alertas que no se encuentran en el código de aplicación. La etiqueta se relaciona con la ubicación de la alerta.

  • Generada: código generado por el proceso de compilación
  • Prueba: código de prueba
  • Biblioteca: biblioteca o código de terceros
  • Documentación: documentación

El categoriza los archivos por sus rutas. No puedes categorizar los archivos de origen manualmente.

Este es un ejemplo de la lista de alertas de code scanning para una alerta marcada como procedente de código de biblioteca.

Alerta de librería del escaneo de código en la lista

En la página de alertas, puede ver si la ruta se marca como código de biblioteca (la etiqueta Library).

Detalles de la alerta de librería del escaneo de código