Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Administrar alertas del escaneo de código

Puedes ver, arreglar y cerrar alertas para los errores o vulnerabilidades potenciales en el código de tu proyecto.

Las personas con permisos de escritura en un repositorio pueden administrar las alertas de escaneo de código para el repositario.

En este artículo

¿Te ayudó este documento?

Nota: Escaneo de código se encuentra acutalmente en beta y está sujeto a cambios. To request access to the beta, join the waitlist.

Acerca de las alertas de escaneo de código

After you enable escaneo de código, GitHub displays escaneo de código alerts in your repository. El flujo de trabajo predeterminado de escaneo de código utiliza el evento on.push para activar el escaneo de código cada vez que alguien carga información a cualquier rama que contenga el archivo de flujo de trabajo.

Each alert highlights a problem with the code and the name of the tool that identified it. Puedes ver la línea de código que activó la alerta, así como las propiedades de la misma, tales como la severidad y la naturaleza de dicho problema. Las alertas también te dicen si el problema se introdujo por primera vez. For alerts identified by CodeQL analysis, you will also see information on how to fix the problem.

Ejemplo de alerta de escaneo de código

Si no quieres tomar la acción que se recomienda en la alerta, puedes cerrarla manualmente. Por ejemplo, puedes cerrar una alerta para el código que se utilice para pruebas, o si crees que ésta es un falso positivo. También puede que quieras cerrar una alerta si el esfuerzo para arreglar el error en el código es mayor que el beneficio potencial de mejorarlo.

Por defecto, GitHub muestra alertas para la rama predeterminada y para cualquier rama protegida. Puedes clasificar y filtrar la lista de alertas para ver únicamente aquellas que te interesen.

Puedes ver las alertas que se introdujeron en una solicitud de extracción y tomar acción inmediata. Cuando escaneo de código encuentra errores o vulnerabilidades en una solicitud de extracción, GitHub muestra anotaciones en la línea de tiempo así como las vistas diferenciales de dicha solicitud.

If you enable escaneo de código using CodeQL, this can also detect data-flow problems in your code. Data-flow analysis finds potential security issues in code, such as: using data insecurely, passing dangerous arguments to functions, and leaking sensitive information.

Cuando escaneo de código reporta alertas de flujo de datos, GitHub te muestra como se mueven los datos a través del código. Escaneo de código allows you to identify the areas of your code that leak sensitive information, and that could be the entry point for attacks by malicious users.

Puedes cargar archivos SARIF de herramientas de análisis estático de terceros a GitHub y ver las alertas de escaneo de código en tu repositorio.Para comenzar, consulta la sección "Subir un archivo SARIF a GitHub".

If you scan your code using a third-party tool or scan your code with custom CodeQL queries, GitHub will only use the supported SARIF 2.1.0 properties to display alerts. Los resultados de herramientas de terceros o las consultas personalizadas podrían no incluir todas las propiedades que ves cuando escaneas tu código utilizando las consultas predeterminadas de CodeQL en GitHub. Para obtener más información, consulta la sección "Soporte de SARIF para escaneo de código".

Visualizar una alerta

  1. En GitHub, visita la página principal del repositorio.
  2. Debajo de tu nombre de repositorio, da clic en Seguridad.
    Pestaña de seguridad
  3. En la barra lateral izquierda, da clic en alertas de escaneo de código. Opcionalmente, selecciona la herramienta de escaneo de código que utilizaste.
    pestaña de "Alertas de escaneo de código"
  4. Debajo de "Escaneo de Código", da clic en la alerta que quieras ver.
    Lista de alertas de escaneo de código
  5. Opcionalmente, si la alerta resalta un problema con el flujo de datos, da clic en Mostrar ruta para revisar la ruta de los datos.
    Ejemplo de alerta de flujo de datos

Cerrar una alerta

  1. En GitHub, visita la página principal del repositorio.
  2. Debajo de tu nombre de repositorio, da clic en Seguridad.
    Pestaña de seguridad
  3. En la barra lateral izquierda, da clic en alertas de escaneo de código. Opcionalmente, selecciona la herramienta de escaneo de código que utilizaste.
    pestaña de "Alertas de escaneo de código"
  4. Debajo de "Escaneo de Código", da clic en la alerta que quieras ver.
    Lista de alertas de escaneo de código
  5. Utiliza el menú desplegable de "Cerrar" y da clic en una razón para cerrar la alerta.
    Escoger una razón para cerrar la alerta a través del menú desplegable de "Cerrar"

Leer más

¿Te ayudó este documento?