Skip to main content
Publicamos actualizaciones para la documentación con frecuencia y es posible que aún se esté traduciendo esta página. Para obtener la información más reciente, consulta la documentación en inglés.

Administración de alertas de examen de código para el repositorio

En la vista de seguridad, puedes ver, corregir, descartar o eliminar alertas de posibles vulnerabilidades o errores en el código del proyecto.

Quién puede usar esta característica

If you have write permission to a repository you can manage code scanning alerts for that repository.

Code scanning está disponible para repositorios que son propiedad de una organización en GitHub Enterprise Server. Esta característica requiere una licencia para la GitHub Advanced Security. Para más información, consulte "Acerca de GitHub Advanced Security".

Visualizar las alertas de un repositorio

Cualquiera con permisos de escritura en un repositorio puede ver las anotaciones del code scanning en las solicitudes de cambios. Para más información, vea "Evaluación de prioridades de alertas de code scanning en solicitudes de incorporación de cambios".

Necesita permiso de escritura para ver un resumen de todas las alertas de un repositorio en la pestaña Seguridad.

Predeterminadamente, la página de alertas del escaneo de código se filtra para mostrar las alertas únicamente para la rama predeterminada del repositorio.

  1. En your GitHub Enterprise Server instance, navega a la página principal del repositorio. 1. En el nombre del repositorio, haz clic en Seguridad. Pestaña Seguridad 1. En la barra lateral izquierda, haga clic en Code scanning alerts (Alertas de análisis de código). Pestaña "Code scanning alerts" (Alertas de análisis de código)

  2. Opcionalmente, utiliza la caja de búsqueda de texto libre o los menús desplegables para filtrar las alertas. Por ejemplo, puedes filtrar por la herramienta que se utilizó para identificar las alertas. Filtrado por herramienta 1. Debajo de "Code scanning", da clic en la alerta que quisieras explorar. Resumen de alertas

    El estado y los detalles de la página de alertas solo reflejan el estado de la alerta en la rama predeterminada del repositorio, incluso si la alerta existe en otras ramas. Puede ver el estado de la alerta en ramas no predeterminadas en la sección Ramas afectadas del lado derecho de la página de alertas. Si una alerta no existe en la rama predeterminada, el estado de la alerta se mostrará como "en la solicitud de incorporación de cambios" o "en la rama", y tendrá un color gris. Sección "Ramas afectadas" en una alerta

  3. Opcionalmente, si la alerta resalta un problema con el flujo de datos, haga clic en Mostrar rutas para mostrar la ruta desde el origen de datos hacia el receptor en el que se usa. Vínculo "Mostrar rutas" en una alerta

  4. Las alertas del análisis de CodeQL incluyen una descripción del problema. Haga clic en Mostrar más para obtener instrucciones sobre cómo corregir el código. Detalles para una alerta

Para más información, vea "Acerca de las alertas de code scanning".

Nota: Para realizar el análisis de code scanning con CodeQL, puede ver información sobre la última ejecución en un encabezado en la parte superior de la lisa de alertas de code scanning para el repositorio.

Por ejemplo, puedes ver cuándo se ejecutó el último escaneo, la cantidad de líneas de código que se analizó en comparación con la cantidad de líneas de código totales en tu repositorio y la cantidad total de alertas qeu se generaron. Banner de interfaz de usuario

Filtrar las alertas del code scanning

Puedes filtrar las alertas que se muestran en la vista de alertas del code scanning. Esto es útil si hay muchas alertas, ya que puedes enfocarte en un tipo particular de estas. Hay algunos filtros predefinidos y rangos de palabras clave que puedes utilizar para refinar la lista de alertas que se muestran.

  • Para usar un filtro predefinido, haga clic en Filtros o en un filtro que se muestre en el encabezado de la lista de alertas y seleccione un filtro en la lista desplegable. Filtros predefinidos
  • Para utilizar una palabra clave, teclea directamente en los filtros de la caja de texto o:
    1. Haz clic en la caja de texto de filtros para que se muestre una lista de palabras clave de filtro disponibles.
    2. Haz clic en la palabra clave que quieras utilizar y luego elige un valor de la lista desplegable. Lista de filtros de palabra clave

El beneficio de utilizar filtros de palabra clave es que solo los valores con resultados se muestran en las listas desplegables. Esto hace más fácil el evitar configurar filtros que no encuentran resultados.

Si escribe varios filtros, en la vista se mostrarán alertas que coincidan con todos ellos. Por ejemplo, is:closed severity:high branch:main solo mostrará alertas de gravedad alta cerradas que están presentes en la rama main. La excepción son los filtros relacionados con las referencias (ref, branch y pr): is:open branch:main branch:nextmostrará las alertas abiertas tanto de la rama main como de la rama next.

Tenga en cuenta que si ha filtrado las alertas en una rama no predeterminada, pero las mismas alertas existen en la rama predeterminada, en la página de alertas de cualquier alerta se seguirá reflejando el estado de la alerta en la rama predeterminada, incluso si ese estado entra en conflicto con el de una rama no predeterminada. Por ejemplo, una alerta que aparece en la lista "Abrir" en el resumen de alertas para branch-x podría mostrar un estado de "Corregido" en la página de alertas, si ya se ha corregido en la rama predeterminada. Puede ver el estado de la alerta de la rama filtrada en la sección Ramas afectadas del lado derecho de la página de alertas.

Puede usar el prefijo - en el filtro tag para excluir los resultados con esa etiqueta. Por ejemplo, -tag:style solo muestra alertas que no tienen la etiqueta style.

Restringir los resultados únicamente al código de la aplicación

Puede usar el filtro "Solo alertas en el código de la aplicación" o la palabra clave autofilter:true y el valor para restringir a las alertas en el código de aplicación. Vea "Acerca de las etiquetas para las alertas que no están en el código de aplicación" anteriormente para más información sobre los tipos de código que no son código de aplicación.

Buscar las alertas del code scanning

Puedes buscar la lista de alertas. Esto es útil si hay una gran cantidad de alertas en tu repositorio o si no sabes el nombre exacto de una alerta, por ejemplo. GitHub Enterprise Server realiza la búsqueda de texto gratuita a través de:

  • Nombre de la alerta
  • Los detalles de la alerta (incluida también la información oculta de la vista de forma predeterminada en la sección Mostrar más contraíble) Información de alerta que se usa en las búsquedas
Búsqueda compatibleEjemplo de sintaxisResults
Búsqueda de palabra sencillainjectionDevuelve todas las alertas que contienen la palabra injection
Búsqueda de palabras múltiplessql injectionDevuelve todas las alertas que contienen sql o injection
Búsqueda de coincidencias exactas
(use comillas dobles)
"sql injection"Devuelve todas las alertas que contienen la frase exacta sql injection
Búsqueda con ORsql OR injectionDevuelve todas las alertas que contienen sql o injection
Búsqueda con ANDsql AND injectionDevuelve todas las alertas que contienen las palabras sql y injection

Sugerencias:

  • La búsuqeda de palabras múltiples es equivalente auna búsqueda con OR.
  • La búsqueda con AND devolverá resultados en los que los términos de la búsqueda se encuentren en cualquier parte, en cualquier orden en el nombre o los detalles de la alerta.
  1. En your GitHub Enterprise Server instance, navega a la página principal del repositorio. 1. En el nombre del repositorio, haz clic en Seguridad. Pestaña Seguridad 1. En la barra lateral izquierda, haga clic en Code scanning alerts (Alertas de análisis de código). Pestaña "Code scanning alerts" (Alertas de análisis de código)
  2. A la derecha de los menús desplegables Filtros, escriba las palabras clave que se van a buscar en el cuadro de búsqueda de texto libre. Cuadro de búsqueda de texto libre
  3. Presione Entrar. El listado de alerta contendrá las alertas abiertas del code scanning que empaten con tus criterios de búsqueda.

Arreglar una alerta

Cualquiera con permisos de escritura en un repositorio puede arreglar una alerta si confirma una corrección en el código. Si el repositorio tiene programado un code scanning para ejecutarse en las solicitudes de cambios, es mejor levantar una solicitud de cambios con tu corrección. Esto activará el análisis del code scanning en los cambios y probará que tu arreglo no introduciría ningún problema nuevo. Para más información, consulta "Personalización de code scanning" y "Evaluación de prioridades de las alertas de code scanning en las solicitudes de incorporación de cambios".

Si tiene permisos de escritura para un repositorio, puede ver las alertas corregidas si examina el resumen de las alertas y hace clic en Cerradas. Para más información, vea "Visualización de las alertas de un repositorio". La lista de "Cerrado" muestra las alertas arregladas y las que los usuarios han descartado.

Puedes usar la búsqueda de texto libre o los filtros para mostrar un subconjunto de alertas y, después, marcar como cerradas todas las alertas que coincidan.

Las alertas pueden arreglarse en una rama pero no en alguna otra. Puedes utilizar el filtro "Branch" en el resumen de las alertas para verificar si una alerta está fija en una rama particular.

Filtrar alertas por rama

Tenga en cuenta que si ha filtrado las alertas en una rama no predeterminada, pero las mismas alertas existen en la rama predeterminada, en la página de alertas de cualquier alerta se seguirá reflejando el estado de la alerta en la rama predeterminada, incluso si ese estado entra en conflicto con el de una rama no predeterminada. Por ejemplo, una alerta que aparece en la lista "Abrir" en el resumen de alertas para branch-x podría mostrar un estado de "Corregido" en la página de alertas, si ya se ha corregido en la rama predeterminada. Puede ver el estado de la alerta de la rama filtrada en la sección Ramas afectadas del lado derecho de la página de alertas.

Nota: Si ejecuta el análisis de código con varias configuraciones, en ocasiones una alerta tendrá varios orígenes de análisis. A menos que ejecute todas las configuraciones con regularidad, es posible que vea alertas que se han corregido en un origen de análisis, pero no en otro. Para más información, vea "Acerca de los orígenes de análisis".

## Descarte o eliminación de alertas

Hay dos formas de cerrar una alerta. Puedes arreglar el problema en el código, o puedes descartar la alerta. Como alternativa, si tienes permisos de administrador para el repositorio, puedes eliminar alertas. Borrar las alertas es útil en situaciones en donde configuraste una herramienta del code scanning y luego decidiste eliminarla, o donde configuraste el análisis de CodeQL con un conjunto más grande de consultas que quieres seguir utilizando y después eliminaste algunas de ellas de la herramienta. En ambos casos, el borrar las alertas te permite limpiar tus resultados del code scanning. Puedes eliminar alertas de la lista de resumen dentro de la pestaña Seguridad.

Descartar una alerta es una manera de cerrar una alerta que considere que no es necesario solucionar. Por ejemplo, un error en el código que se utiliza únicamente para hacer pruebas, o cuando el esfuerzo de areglar el error es mayor que el beneficio potencial de mejorar el código. Puede eliminar alertas desde las anotaciones de code scanning en el código, o bien desde la lista de resumen dentro de la pestaña Seguridad.

Cuando descartas una alerta:

  • Se descarta en todas las ramas.
  • La alerta se elimina de la cantidad de alertas actuales para tu proyecto.
  • La alerta se mueve a la lista de "Cerrado" en el resumen de alertas, desde donde puedes volver a abrirla en caso de que lo necesites.
  • Se registra el motivo por el que cerraste la alerta.
  • La siguiente vez que se ejecute el code scanning, este código no volverá a generar una alerta.

Al eliminar una alerta:

  • Se borra en todas las ramas.
  • La alerta se elimina de la cantidad de alertas actuales para tu proyecto.
  • No se agrega a la lista "Cerradas" del resumen de alertas.
  • Si el código que ha generado la alerta se mantiene tal cual, y se ejecuta la misma herramienta otra vez sin ningún cambio de configuración code scanning, la alerta se mostrará otra vez en los resultados de tu análisis.

Para descartar o eliminar alertas:

  1. En your GitHub Enterprise Server instance, navega a la página principal del repositorio. 1. En el nombre del repositorio, haz clic en Seguridad. Pestaña Seguridad 1. En la barra lateral izquierda, haga clic en Code scanning alerts (Alertas de análisis de código). Pestaña "Code scanning alerts" (Alertas de análisis de código)

  2. Si tiene permisos de administrador en el repositorio y quiere eliminar las alertas para esta herramienta de code scanning, seleccione algunas o todas las casillas, y haga clic en Eliminar.

    Borrar alertas

    Opcionalmente, puedes usar la búsqueda de texto libre o los filtros para mostrar un subconjunto de alertas y, después, borrar simultáneamente todas las alertas que coincidan. Por ejemplo, si eliminaste una consulta desde el análisis de CodeQL, puedes utilizar el filtro de "Regla" para listar solo las alertas para esa consulta y luego seleccionar y borrar todas esas alertas.

    Filtrado de alertas por regla

  3. Si quieres descartar una alerta, es importante explorarla primero para que puedas elegir la razón correcta para descartarla. Da clic en la alerta que quisieras explorar. Abre una alerta de la lista de resumen

  4. Revise la alerta y, después, haga clic en Descartar y elija un motivo para cerrar la alerta. Elegir un motivo para descartar una alerta Es importante elegir la razón adecuada del menú desplegable, ya que esto puede afectar si la consulta continuará incluyéndose en los análisis futuros.

    Si descartas una alerta de CodeQL como consecuencia de un resultado de falso positivo, por ejemplo, porque el código utiliza una biblioteca de sanitización que no es compatible, considera contribuir con el repositorio de CodeQL y mejorar el análisis. Para más información sobre CodeQL, vea "Contribución a CodeQL".

Descartar varias alertas al mismo tiempo

Si un proyecto tiene varias alertas que quieras descartar por la misma razón, puedes descartarlas por lote desde el resúmen de las alertas. Habitualmente quieres filtrar la lista y luego descartar todas las alertas coincidentes. Por ejemplo, puede que quieras descartar todas las alertas actuales del proyecto que se hayan etiquetado para una vulnerabilidad de Enumeración de Debilidades (CWE, por sus siglas en inglés) Común en particular.

Información adicional