Establecimiento de la configuración avanzada para el examen del código

Puede configurar la configuración avanzada de un repositorio para buscar vulnerabilidades de seguridad en el código mediante una configuración altamente personalizable code scanning .

¿Quién puede utilizar esta característica?

Propietarios de repositorios, propietarios de organizaciones, administradores de seguridad y usuarios con el rol de administrador

Code scanning está disponible para los tipos de repositorio siguientes:

  • Repositorios públicos en GitHub.com
  • Repositorios propiedad de la organización en GitHub Team, GitHub Enterprise Cloud, o GitHub Enterprise Server, con GitHub Code Security habilitados.

En este artículo

Nota:

El administrador del sitio debe habilitar code scanning antes de que puedas utilizar esta característica. Si quieres utilizar GitHub Actions para escanear tu código, el administrador de sitio también puede habilitar las GitHub Actions y configurar la infraestructura que se requiera. Para más información, consulta Configuración la digitalización de código para el dispositivo.

Nota:

En este artículo, se describen las características disponibles con la versión de la acción CodeQL y el paquete CodeQL CLI asociado incluido en el lanzamiento inicial de esta versión de GitHub Enterprise Server. Si en la empresa se usa una versión más reciente de la acción CodeQL, consulta la versión de GitHub Enterprise Cloud de este artículo para obtener información sobre las características más recientes. Para obtener información sobre el uso de la última versión, consulta Configuración la digitalización de código para el dispositivo.

Si no necesita una configuración altamente personalizable code scanning , considere la posibilidad de usar la configuración predeterminada para code scanning. Para obtener más información, vea Acerca de los tipos de configuración para el examen de código.

Prerrequisitos

El repositorio es apto para la configuración avanzada si cumple estos requisitos.

  • Usa CodeQLlenguajes admitidos o planea generar resultados de análisis de código con una herramienta de terceros.
  • GitHub Actions está habilitado.
  • GitHub Code Security se ha habilitado.

Si el servidor en el que se ejecuta GitHub Enterprise Server no está conectado a Internet, el administrador del sitio puede habilitar CodeQLcode scanning haciendo que el CodeQL conjunto de análisis esté disponible en el servidor. Para obtener más información, vea Configuración la digitalización de código para el dispositivo.

Configuración de la configuración avanzada para code scanning con CodeQL

Puede personalizar el CodeQL análisis mediante la creación y edición de un archivo de flujo de trabajo. Al seleccionar la configuración avanzada, se genera un archivo de flujo de trabajo básico para personalizar mediante la sintaxis de flujo de trabajo estándar y se especifican opciones para la CodeQL acción. Consulte Flujos de trabajo y Opciones de configuración de flujo de trabajo para el examen de código.

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. Debajo del nombre del repositorio, haz clic en Settings. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Security" de la barra lateral, haz clic en Advanced Security.

  4. Desplácese hacia abajo hasta "Code Security", en la fila "CodeQL análisis" seleccione Configurar y, a continuación, haga clic en Avanzadas.

    Nota:

    Si va a cambiar de la configuración predeterminada a la configuración avanzada, en la fila "CodeQL análisis", seleccione y, a continuación, haga clic en Cambiar a avanzado. En la ventana emergente que aparece, haga clic en Deshabilitar CodeQL.

    Captura de pantalla de la sección "Code Security" de la configuración de "Advanced Security". El botón "Configuración avanzada" está resaltado con un contorno naranja.

  5. Para personalizar cómo code scanning examina el código, edite el flujo de trabajo.

    Por lo general, puede confirmar el Flujo de trabajo de análisis de CodeQL sin hacer ningún cambio en él. Pero muchos de los flujos de trabajo de terceros necesitan una configuración adicional, así que lea los comentarios del flujo de trabajo antes de confirmar.

    Para obtener más información, vea Opciones de configuración de flujo de trabajo para el examen de código y Análisis de código de CodeQL para lenguajes compilados.

  6. Haz clic en Confirmar cambios... para mostrar el formulario de confirmación de cambios.

    Captura de pantalla del formulario para crear un nuevo archivo. A la derecha del nombre de archivo, un botón verde, con la etiqueta "Confirmar cambios...", está resaltado en naranja oscuro.

  7. En el campo de mensaje de confirmación, escribe un mensaje de confirmación.

  8. Elija si quiere confirmar directamente en la rama predeterminada o crear una rama e iniciar una solicitud de incorporación de cambios.

  9. Haz clic en Confirmar nuevo archivo para confirmar el archivo de flujo de trabajo en la rama predeterminada o haz clic en Proponer nuevo archivo para confirmar el archivo en una nueva rama.

  10. Si has creado una nueva rama, haz clic en Crear solicitud de cambios y abre una solicitud de cambios para combinar el cambio en la rama predeterminada.

En la sugerencia Flujo de trabajo de análisis de CodeQL, code scanning está configurado para analizar tu código cada vez que realizas un cambio en la rama predeterminada o en cualquier rama protegida, o generas un pull request en la rama predeterminada. Como resultado, code scanning ahora comenzará.

Los valores on:pull_request y on:push que se desencadenan para el examen de código son útiles para distintos propósitos. Consulte Opciones de configuración de flujo de trabajo para el examen de código y Activar un flujo de trabajo.

Para obtener información sobre la habilitación masiva, vea Establecimiento de la configuración avanzada para el examen de código con CodeQL a gran escala.

Pasos siguientes

Después de que el flujo de trabajo se ejecute correctamente al menos una vez, estará listo para empezar a examinar y resolver code scanning alertas. Para obtener más información sobre las code scanning alertas, consulte Acerca de las alertas de análisis de código y Evaluación de alertas de análisis de código para el repositorio.

Obtenga información sobre cómo code scanning se comportan las ejecuciones como comprobaciones en las solicitudes de incorporación de cambios, consulte Clasificar las alertas del escaneo de código en las solicitudes de cambios.

Puede encontrar información detallada sobre la code scanning configuración, incluidas las marcas de tiempo de cada examen y el porcentaje de archivos escaneados, en la página de estado de la herramienta. Para obtener más información, vea Usar la página de estado de la herramienta para el examen de código.

Lectura adicional

  •         [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/triaging-code-scanning-alerts-in-pull-requests).

  •         [AUTOTITLE](/account-and-profile/managing-subscriptions-and-notifications-on-github/setting-up-notifications/configuring-notifications#github-actions-notification-options).

  •         [AUTOTITLE](/code-security/code-scanning/creating-an-advanced-setup-for-code-scanning/customizing-your-advanced-setup-for-code-scanning).

  •         [AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/viewing-code-scanning-logs).