Establecimiento de la configuración predeterminada para el examen del código

Configure rápidamente code scanning para identificar el código vulnerable.

¿Quién puede utilizar esta característica?

Propietarios de repositorios, propietarios de organizaciones, administradores de seguridad y usuarios con el rol de administrador

Code scanning está disponible para los tipos de repositorio siguientes:

  • Repositorios públicos en GitHub.com
  • Repositorios propiedad de la organización en GitHub Team, GitHub Enterprise Cloud, o GitHub Enterprise Server, con GitHub Advanced Security habilitados.

En este artículo

Se recomienda empezar a usar code scanning con la configuración predeterminada. Después de configurar inicialmente la configuración predeterminada, puede evaluar code scanning cómo funciona para usted y personalizarla para satisfacer mejor sus necesidades. Para obtener más información, vea Acerca de los tipos de configuración para el examen de código.

Prerrequisitos

El repositorio es apto para la configuración predeterminada para code scanning si:

  • GitHub Actions está habilitado.
  • GitHub Advanced Security se ha habilitado.

Establecimiento de la configuración predeterminada para un repositorio

Nota:

Si se produce un error en los análisis de todos los CodeQLidiomas admitidos en un repositorio, la configuración predeterminada seguirá habilitada, pero no ejecutará ningún examen ni usará ningún GitHub Actions minuto hasta que se agregue otro CodeQLidioma admitido al repositorio o se vuelva a configurar manualmente la configuración predeterminada y el análisis de un CodeQLidioma admitido se realice correctamente.

  1. En GitHub, navegue hasta la página principal del repositorio.

    Nota:

    Si va a establecer la configuración predeterminada en una bifurcación, primero debe habilitar GitHub Actions. Para habilitar GitHub Actions, bajo el nombre del repositorio, haga clic en Acciones y luego haga clic en Entiendo mis flujos de trabajo, continúe y hábilite los. Tenga en cuenta que esto habilitará todos los flujos de trabajo existentes en la bifurcación.

  2. Debajo del nombre del repositorio, haz clic en Settings. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Security" de la barra lateral, haz clic en Code security.

  4. En la sección "Code scanning", selecciona Set up y después haz clic en Default.

    Captura de pantalla de la sección "Code scanning" de la configuración de "Code security". El botón "Configuración predeterminada" está resaltado con un contorno naranja.

    A continuación, verá un cuadro de diálogo "CodeQL configuración predeterminada" que resume la code scanning configuración creada automáticamente de forma predeterminada.

  5. Opcionalmente, para personalizar la code scanning configuración, haga clic en Editar.

    • Para agregar o quitar un lenguaje del análisis realizado por la configuración predeterminada, selecciona o anula la selección de ese lenguaje en la sección "Lenguajes".
    • Para especificar el CodeQL conjunto de consultas que desea usar, seleccione el conjunto de consultas preferido en la sección "Conjuntos de consultas".

  6. Revise la configuración predeterminada en el repositorio y, a continuación, haga clic en Habilitar CodeQL. Esto desencadenará un flujo de trabajo que pruebe la nueva configuración generada automáticamente.

    Nota:

    Si va a cambiar a la configuración predeterminada desde la configuración avanzada, verá una advertencia que le informará de que la configuración predeterminada invalidará las configuraciones existentes code scanning . Esta advertencia significa que la configuración predeterminada deshabilitará el archivo de flujo de trabajo existente y bloqueará las cargas de la CodeQL API de análisis.

  7. Opcionalmente, para ver la configuración predeterminada después de la habilitación, seleccione y a continuación haga clic en Ver CodeQL configuración.

Nota:

Si no se han producido empujes y solicitudes de extracción en un repositorio con la configuración predeterminada habilitada durante 6 meses, la programación semanal se deshabilitará para ahorrar GitHub Actions minutos.

Asignación de ejecutores para la configuración predeterminada

Nota:

Code scanning ve ejecutores asignados cuando la configuración predeterminada está habilitada. Si se asigna un ejecutor a un repositorio que ya está ejecutando la configuración predeterminada, debe deshabilitar y volver a habilitar la configuración predeterminada para empezar a usar el ejecutor. Si agrega un ejecutor y quiere empezar a usarlo, puede cambiar la configuración manualmente sin necesidad de deshabilitar y volver a habilitar la configuración predeterminada.

Asignación de etiquetas a agentes autohospedados

Para asignar un ejecutor autohospedado para la configuración predeterminada, puede usar la etiqueta predeterminada code-scanning o, opcionalmente, asignarles etiquetas personalizadas para que los repositorios individuales puedan usar diferentes ejecutores. Para obtener información sobre cómo asignar etiquetas a ejecutores autohospedados, consulte Uso de etiquetas con ejecutores autohospedados.

Una vez que haya asignado etiquetas personalizadas a los ejecutores autohospedados, los repositorios pueden usar esos ejecutores para la code scanning configuración predeterminada.

También puede usar security configurations para asignar etiquetas a ejecutores autohospedados para code scanning. Consulte Creación de una configuración de seguridad personalizada.

Asegurar el soporte para la construcción

La configuración predeterminada usa el none modo de compilación para C# y Java y usa el autobuild modo de compilación para otros lenguajes compilados. Debe configurar los ejecutores autohospedados para asegurarte de que pueden ejecutar todos los comandos necesarios para el análisis de C/C++, C# y Swift. Actualmente, el análisis de código JavaScript/TypeScript, Go, Ruby, Python y Kotlin no requiere una configuración especial.

Pasos siguientes

Después de que la configuración se ejecute correctamente al menos una vez, puede empezar a examinar y resolver code scanning alertas. Para obtener más información sobre las code scanning alertas, consulte Acerca de las alertas de análisis de código y Evaluación de alertas de análisis de código para el repositorio.

Después de configurar la configuración predeterminada para code scanning, puede leer sobre cómo funciona para usted y los pasos siguientes que puede seguir para personalizarlo. Para obtener más información, vea Evaluación de la configuración predeterminada para el examen de código.

Puede encontrar información detallada sobre la code scanning configuración, incluidas las marcas de tiempo de cada examen y el porcentaje de archivos escaneados, en la página de estado de la herramienta. Para obtener más información, vea Usar la página de estado de la herramienta para el examen de código.

Al establecer la configuración predeterminada, es posible que encuentres un error. Para obtener información sobre la solución de problemas específicos, consulte Solución de problemas de análisis de código.