Acerca de code scanning con CodeQL
CodeQL es el motor de análisis de código que desarrolló GitHub para automatizar las verificaciones de seguridad. Puedes analizar tu código utilizando CodeQL y mostrando los resultados como alertas del code scanning.
Hay dos formas principales para utilizar el análisis de CodeQL para el code scanning:
-
Agregar el flujo de trabajo de CodeQL a tu repositorio. Se usa la acción github/codeql-action para ejecutar la CodeQL CLI. Para obtener más información, vea «Establecimiento del examen de código con CodeQL».
-
Ejecutar el CodeQL CLI directamente en un sistema de IC externo y cargar los resultados en GitHub. Para obtener más información, vea «Acerca del escaneo de código de CodeQL en tu sistema de IC».
Para más información sobre alertas de code scanning, consulta "Acerca de las alertas de análisis de código".
Acerca de CodeQL
El CodeQL trata el código como datos, permitiéndote encontrar vulnerabilidades potenciales en tu código con mayor confianza que los analizadores estáticos tradicionales.
- Generas una base de datos de CodeQL para representar tu base de código.
- Entonces, ejecutarás consultas de CodeQL en esa base de datos para identificar problemas en la base de código.
- Estos resultados de consulta se muestran como alertas del code scanning en GitHub AE cuando utilizas al CodeQL con el code scanning.
CodeQL es compatible tanto con lenguajes compilados como interpretados, y puede buscar vulnerabilidades y errores en el código escrito en los lenguajes compatibles.
- C/C++
- C#
- Go
- Java
- JavaScript/TypeScript
- Python
- Ruby
Notas:
-
El análisis de CodeQL para Ruby se encuentra actualmente en versión beta. Durante la versión beta, el análisis de Ruby será menos exhaustivo que el análisis de CodeQL de otros lenguajes.
-
Usa
javascript
para analizar el código escrito en JavaScript, TypeScript o ambos.
Para más información, vea la documentación en el sitio web de CodeQL: "Lenguajes y marcos admitidos".
Acerca de las consultas de CodeQL
Los expertos de GitHub, investigadores de seguridad y contribuyentes comunitarios escriben y mantienen las consultas predeterminadas de CodeQL que se utilizan para el code scanning. Las consultas se actualizan frecuentemente para mejorar el análisis y reducir cualquier resultado falso positivo. Las consultas son código abierto, por lo que puede ver y contribuir en ellas en el repositorio de github/codeql
. Para obtener más información, consulte CodeQL en el sitio web de CodeQL. También puede escribir consultas propias. Para obtener más información, consulte "Acerca de las consultas de CodeQL" en la documentación de CodeQL.
Si vas a examinar el código con la configuración avanzada o un sistema de CI externo, puedes ejecutar consultas adicionales como parte del análisis.
Las consultas que quieras ejecutar deben pertenecer al paquete de QL en un repositorio. Las consultas solo deberán depender de las bibliotecas estándar (es decir, a las que se hace referencia mediante una instrucción import LANGUAGE
en la consulta), o bien de aquellas en el mismo paquete de QL que la consulta.