Skip to main content

Esta versión de GitHub Enterprise Server se discontinuará el 2024-03-07. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener rendimiento mejorado, seguridad mejorada y nuevas características, actualice a la versión más reciente de GitHub Enterprise Server. Para obtener ayuda con la actualización, póngase en contacto con el soporte técnico de GitHub Enterprise.

Establecimiento del examen de código con CodeQL

Puedes establecer code scanning para un repositorio con el fin de buscar vulnerabilidades de seguridad en el código.

¿Quién puede utilizar esta característica?

People with admin permissions to a repository, or the security manager role for the repository, can configure code scanning for that repository. People with write permissions to a repository can also configure code scanning, but only by creating a workflow file or manually uploading a SARIF file.

Code scanning está disponible para repositorios que son propiedad de una organización en GitHub Enterprise Server. Esta característica requiere una licencia para la GitHub Advanced Security. Para obtener más información, vea «Acerca de GitHub Advanced Security».

Nota: El administrador del sitio debe habilitar code scanning para tu instancia de GitHub Enterprise Server para que puedas utilizar esta característica. Si quieres utilizar GitHub Actions para escanear tu código, el administrador de sitio también puede habilitar las GitHub Actions y configurar la infraestructura que se requiera. Para obtener más información, vea «Configuración la digitalización de código para el dispositivo».

Acerca delcode scanning

Code scanning facilita la detección de vulnerabilidades en el código del repositorio. Con el code scanning de CodeQL, puedes seleccionar conjuntos de consultas personalizados o integrados para usarlos en el análisis, establecer una programación de examen específica, elegir qué eventos desencadenan un examen, etc.

También puedes configurar el code scanning con herramientas de terceros. Para obtener más información, consulta "Configuración del code scanning con acciones de terceros".

Si ejecutas el análisis de código mediante varias configuraciones, en ocasiones una alerta tendrá varios orígenes de análisis. Si una alerta tiene varios orígenes de análisis, puede ver el estado de la alerta para cada origen de análisis en la página de alertas. Para obtener más información, vea «Acerca de las alertas de análisis de código».

Nota: En este artículo se describen las características disponibles con la versión de la acción CodeQL y el paquete CodeQL CLI asociado que se incluyen en la versión inicial de esta versión de GitHub Enterprise Server. Si en la empresa se usa una versión más reciente de la acción CodeQL, consulta la versión de GitHub Enterprise Cloud de este artículo para obtener información sobre las características más recientes. Para obtener información sobre el uso de la última versión, consulta "Configuración la digitalización de código para el dispositivo."

Requisitos previos

El repositorio es válido para code scanning si:

  • Usa lenguajes compatibles con CodeQL o tienes previsto generar resultados de examen del código con una herramienta de terceros.
  • GitHub Actions está habilitado.
  • GitHub Advanced Security está habilitado.

Si el servidor en el que ejecutas GitHub Enterprise Server no está conectado a Internet, el administrador del sitio puede habilitar CodeQL code scanning de forma que el conjunto de análisis CodeQL esté disponible en el servidor. Para obtener más información, vea «Configuración la digitalización de código para el dispositivo».

Configuración del code scanning con la acción de CodeQL

  1. En tu instancia de GitHub Enterprise Server, navega a la página principal del repositorio.

  2. En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad. Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Seguridad" está resaltada con un contorno naranja oscuro.

  3. A la derecha de "Alertas de Code scanning", haga clic en Configurar code scanning . Si falta "Alertas de code scanning", debe pedir a un propietario de la organización o administrador del repositorio que habilite GitHub Advanced Security. Para más información, consulte "Administrar la configuración de seguridad y análisis de su organización" o "Administración de la configuración de seguridad y análisis para el repositorio."

  4. En "Comenzar con code scanning", haga clic en Configurar este flujo de trabajo en Flujo de trabajo de análisis de CodeQL o en un flujo de trabajo de terceros.

    Los flujos de trabajo solo se muestran si son pertinentes para los lenguajes de programación detectados en el repositorio. El Flujo de trabajo de análisis de CodeQL siempre se muestra, pero el botón "Configurar este flujo de trabajo" solo se habilita si el análisis de CodeQL es compatible con los lenguajes presentes en el repositorio.

  5. Para personalizar la forma en que el code scanning escanea tu còdigo, edita el flujo de trabajo.

    Generalmente, puedes confirmar el Flujo de trabajo de análisis de CodeQL sin hacerle ningún cambio. Pero muchos de los flujos de trabajo de terceros necesitan una configuración adicional, así que lea los comentarios del flujo de trabajo antes de confirmar.

    Para obtener más información, vea «Personalizar la configuración avanzado de el análisis de código» y «Análisis de código de CodeQL para lenguajes compilados».

  6. Haz clic en Confirmar cambios... para mostrar el formulario de confirmación de cambios.

    Captura de pantalla del formulario para crear un nuevo archivo. A la derecha del nombre de archivo, un botón verde, con la etiqueta "Confirmar cambios...", está resaltado en naranja oscuro.

  7. En el campo de mensaje de confirmación, escribe un mensaje de confirmación.

  8. Elija si quiere confirmar directamente en la rama predeterminada o crear una rama e iniciar una solicitud de incorporación de cambios.

  9. Haga clic en Commit new file (Confirmar nuevo archivo) o Propose new file (Proponer nuevo archivo).

En el Flujo de trabajo de análisis de CodeQL sugerido, el code scanning se configura para analizar tu código cada vez que envíes un cambio a la rama predeterminada o a cualquier rama protegida, o que emitas una solicitud de incorporación cambios contra la rama predeterminada. Como resultado, el code scanning comenzarà ahora.

Los valores on:pull_request y on:push que se desencadenan para el examen de código son útiles para distintos propósitos. Para obtener más información, vea «Personalizar la configuración avanzado de el análisis de código».

Para obtener información sobre la habilitación masiva, vea "Establecimiento del examen de código con CodeQL a gran escala".

Pasos siguientes

Después de configurar el code scanning y permitir que sus acciones se completen, puedes: