👋 We've unified all of GitHub's product documentation in one place! Check out the content for REST API, GraphQL API, and Developers. Learn more on the GitHub blog.


Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Administrar alertas del escaneo de código

Puedes ver, arreglar y cerrar alertas para los errores o vulnerabilidades potenciales en el código de tu proyecto.

Las personas con permisos de escritura en un repositorio pueden administrar las alertas de escaneo de código para el repositario.

En este artículo

¿Pudiste encontrar lo que estabas buscando?

Nota: Escaneo de código se encuentra acutalmente en beta y está sujeto a cambios. Para solicitar acceso al beta,, únete a la lista de espera.

Acerca de las alertas de escaneo de código

GitHub mostrará las alertas en tu repositorio, después de escanear tu código con CodeQL, o de cargar los resultados de escaneo de código desde tu herramienta de análisis estático.

Las alertas te muestran código que podría incluir errores o vulnerabilidades de seguridad. Cada alerta resalta el problema en el código y proporciona información sobre cómo arreglarlo. Puedes ver la línea de código que activó la alerta, así como las propiedades de la misma, tales como la severidad y la naturaleza de dicho problema. Las alertas también te dicen si el problema se introdujo por primera vez.

Ejemplo de alerta de escaneo de código

Si no quieres tomar la acción que se recomienda en la alerta, puedes cerrarla manualmente. Por ejemplo, puedes cerrar una alerta para el código que se utilice para pruebas, o si crees que ésta es un falso positivo. También puede que quieras cerrar una alerta si el esfuerzo para arreglar el error en el código es mayor que el beneficio potencial de mejorarlo.

Por defecto, GitHub muestra alertas para la rama predeterminada y para cualquier rama protegida. Puedes clasificar y filtrar la lista de alertas para ver únicamente aquellas que te interesen.

Puedes ver las alertas que se introdujeron en una solicitud de extracción y tomar acción inmediata. Cuando escaneo de código encuentra errores o vulnerabilidades en una solicitud de extracción, GitHub muestra anotaciones en la línea de tiempo así como las vistas diferenciales de dicha solicitud.

Escaneo de código también reportará problemas del flujo de datos en tu código. El análisis de flujo de datos encuentra problemas de seguridad potenciales en bases de código, tales como los datos que se utilizan de forma insegura, áreas de código en donde se pasan argumentos peligrosos a las funciones, y riesgos de fuga de información sensible.

Cuando escaneo de código reporta alertas de flujo de datos, GitHub te muestra como se mueven los datos a través del código. Escaneo de código te permite identificar las áreas de tu código que dejen que se fugue la información sensible, y por ello, pudieran ser el punto de entrada de los ataques que realicen los usuarios malintencionados.

Puedes cargar archivos SARIF de herramientas de análisis estático de terceros a GitHub y ver las alertas de escaneo de código en tu repositorio.Para comenzar, consulta la sección "Subir un archivo SARIF a GitHub".

Si cargas un archivo SARIF desde una herramienta de terceros, o si escaneas tu código con consultas de CodeQL personalizadas, GitHub solo utilizará las propiedades compatibles de SARIF 2.1.0 para mostrar alertas. Los resultados de herramientas de terceros o las consultas personalizadas podrían no incluir todas las propiedades que ves cuando escaneas tu código utilizando las consultas predeterminadas de CodeQL en GitHub. Para obtener más información, consulta la sección "Soporte de SARIF para escaneo de código".

Visualizar una alerta

  1. En GitHub, visita la página principal del repositorio.
  2. Debajo de tu nombre de repositorio, da clic en Seguridad.
    Pestaña de seguridad
  3. En la barra lateral izquierda, da clic en alertas de escaneo de código. Opcionalmente, selecciona la herramienta de escaneo de código que utilizaste.
    pestaña de "Alertas de escaneo de código"
  4. Debajo de "Escaneo de Código", da clic en la alerta que quieras ver.
    Lista de alertas de escaneo de código
  5. Opcionalmente, si la alerta resalta un problema con el flujo de datos, da clic en Mostrar ruta para revisar la ruta de los datos.
    Ejemplo de alerta de flujo de datos

Cerrar una alerta

  1. En GitHub, visita la página principal del repositorio.
  2. Debajo de tu nombre de repositorio, da clic en Seguridad.
    Pestaña de seguridad
  3. En la barra lateral izquierda, da clic en alertas de escaneo de código. Opcionalmente, selecciona la herramienta de escaneo de código que utilizaste.
    pestaña de "Alertas de escaneo de código"
  4. Debajo de "Escaneo de Código", da clic en la alerta que quieras ver.
    Lista de alertas de escaneo de código
  5. Utiliza el menú desplegable de "Cerrar" y da clic en una razón para cerrar la alerta.
    Escoger una razón para cerrar la alerta a través del menú desplegable de "Cerrar"

Leer más

¿Pudiste encontrar lo que estabas buscando?

Pregunta a una persona

¿No puedes encontrar lo que estás buscando?

Contáctanos