👋 We've unified all of GitHub's product documentation in one place! Check out the content for REST API, GraphQL API, and Developers. Learn more on the GitHub blog.


Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Acerca del escaneo de código

Puedes utilizar escaneo de código para encontrar vulnerabilidades de seguridad y errores en el código de tu proyecto en GitHub.

En este artículo

Nota: Escaneo de código se encuentra acutalmente en beta y está sujeto a cambios. Para solicitar acceso al beta,, únete a la lista de espera.

Acerca de escaneo de código

Con escaneo de código, los desarrolladores puede analizar el código en un repositorio de GitHub rápida y automáticamente para encontrar vulnerabilidades de seguridad y errores de código.

Puedes utilizar escaneo de código para encontrar, clasificar y priorizar los arreglos a problemas existentes en tu código. Escaneo de código también previene a los desarrolladores de introducir nuevos problemas. Puedes programar días y horas específicos para los escaneos, o activarlos cuando ocurra un evento específico en el repositorio, tal como una carga de información.

Si escaneo de código encuentra una vulnerabilidad potencial o un error en tu código, GitHub mostrará una alerta en el repositorio. GitHub cerrará la alerta una vez que arregles el código que la activó. Para obtener más información, consulta la sección "Administrar alertas desde escaneo de código".

Escaneo de código es compatible tanto con los lenguajes compilados como con lso interpretados, y puede encontrar vulnerabilidades y errores en el código que se escriba en los lenguajes compatibles.

  • C/C++
  • C#
  • Go
  • Java
  • JavaScript/TypeScript
  • Python

Escaneo de código utiliza GitHub Actions. Para obtener más información, consulta la sección "Acerca de GitHub Actions".

Para comenzar con el escaneo de código, consulta la sección "Habilitar el escaneo de código".

For more information about API endpoints for escaneo de código, see "Escaneo de código."

Acerca de CodeQL

Predefinidamente, escaneo de código utiliza CodeQL, un motor de análisis semántico de código. CodeQL trata el código como datos, lo cual te permite encontrar vulenrabilidades potenciales en tu código con más confianza que en los anallizadores estáticos trandicionales. Puedes utilizar CodeQL para encontrar todas las variantes de una vulnerabilidad, y eliminarlas de tu código.

QLEs el lenguaje de consulta que impulsa a CodeQL. QL es un lenguaje de programación lógico orientado a objetos. GitHub, los expertos del lenguaje, y los investigadores de seguridad crean las consultas que se utilizan para escaneo de código, y éstas son de código abierto. La comunidad mantiene y actualiza estas consultas para mejorar el análisis y reducir los falsos positivos. Para obtener más información, consulta la sección CodeQL en el sitio web de GitHub Security Lab.

Puedes ver y contribuir con las consultas para escaneo de código en el repositorio github/codeql. Para obtener más información, consulta la sección CodeQL queries en la documentación de CodeQL.

Acerca de la facturación para escaneo de código

Escaneo de código utiliza GitHub Actions, y cada ejecución de un flujo de trabajo de escaneo de código consume minutos para GitHub Actions. Para obtener más información, consulta "Acerca de la facturación para GitHub Actions".

Acerca de las herramientas de escaneo de código de terceros

Puedes cargar archivos SARIF de herramientas de análisis estático de terceros a GitHub y ver las alertas de escaneo de código en tu repositorio.

Escaneo de código es interoperable con herramientas de escaneo de código de terceros que producen datos de Formato de Intercambio de Resultado de Análisis (SARIF). SARIF es un estándar de código abierto. Para obtener más información, consulta la sección "Resultados de SARIF para escaneo de código".

Para comenzar, consulta la sección "Subir un archivo SARIF a GitHub".

Leer más

Pregunta a una persona

¿No puedes encontrar lo que estás buscando?

Contáctanos