Establecimiento de la configuración predeterminada para el examen del código

Configure rápidamente code scanning para encontrar código vulnerable automáticamente.

¿Quién puede utilizar esta característica?

Propietarios de repositorios, propietarios de organizaciones, administradores de seguridad y usuarios con el rol de administrador

Code scanning está disponible para los tipos de repositorio siguientes:

  • Repositorios públicos en GitHub.com
  • Repositorios propiedad de la organización en GitHub Team, GitHub Enterprise Cloud, o GitHub Enterprise Server, con GitHub Code Security habilitados.

En este artículo

Se recomienda empezar a usar code scanning con la configuración predeterminada. Después de haber configurado inicialmente la configuración predeterminada, puede evaluar code scanning para ver cómo funciona y personalizarlo para que se ajuste mejor a sus necesidades. Para más información, consulta Acerca de los tipos de configuración para el examen de código.

Prerrequisitos

El repositorio es apto para la configuración predeterminada de code scanning si:

Establecimiento de la configuración predeterminada para un repositorio

Nota:

Si se produce un erro en los análisis para todos los lenguajes compatibles con CodeQL de un repositorio, la configuración predeterminada seguirá habilitada, pero no se ejecutará ningún examen ni se usarán minutos de GitHub Actions hasta que otro lenguaje compatible con CodeQL se agregue al repositorio o se vuelva a configurar manualmente la configuración predeterminada y el análisis de un lenguaje compatible con CodeQL se ejecute correctamente.

  1. En GitHub, navegue hasta la página principal del repositorio.

    Nota:

    Si realizas la configuración predeterminada en una bifurcación, primero debes habilitar GitHub Actions. Para habilitar GitHub Actions, bajo el nombre de tu repositorio, haz clic en Actions, después haz clic en I understand my workflows, go ahead and enable them. Tenga en cuenta que esto habilitará todos los flujos de trabajo existentes en la bifurcación.

  2. Debajo del nombre del repositorio, haz clic en Settings. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Security" de la barra lateral, haz clic en Advanced Security.

  4. En "Code Security", a la derecha de "CodeQL analysis", selecciona Set up y luego haz clic en Default.

    Captura de pantalla de la sección "Code scanning" de la configuración "Advanced Security". El botón "Configuración predeterminada" está resaltado con un contorno naranja.

    Verás el cuadro de diálogo "Configuración predeterminada de CodeQL", que resume la configuración de code scanning creada automáticamente por la configuración predeterminada.

  5. Opcionalmente, para personalizar la configuración de code scanning, haz clic en Editar.

    • Para agregar o quitar un lenguaje del análisis realizado por la configuración predeterminada, selecciona o anula la selección de ese lenguaje en la sección "Lenguajes".
    • Para especificar el conjunto de consultas CodeQL que desea usar, seleccione el conjunto de consultas preferido en la sección "Conjuntos de consultas".

  6. Revisa los valores de la configuración predeterminada en el repositorio y haz clic en Habilitar CodeQL . Esto desencadenará un flujo de trabajo que pruebe la nueva configuración generada automáticamente.

    Nota:

    Si cambia a la configuración predeterminada desde la configuración avanzada, verá una advertencia que le informará de que la configuración predeterminada invalidará las configuraciones existentes de code scanning. Esta advertencia indica que la configuración predeterminada deshabilitará el archivo de flujo de trabajo actual y bloqueará las cargas de la API de análisis de CodeQL.

  7. Si los proyectos en tu repositorio dependen de dependencias en registros de paquetes privados, puedes conceder a code scanning acceso a ellos. Esto puede mejorar los resultados y la calidad de los análisis. Consulta Conceder acceso a las características de seguridad a registros privados.

  8. Opcionalmente, para ver la configuración predeterminada después de habilitarla, selecciona y haz clic en Ver configuración de CodeQL.

Nota:

Si no se han enviado cambios ni se han producido solicitudes de cambios en un repositorio con la configuración predeterminada habilitada durante 6 meses, la programación semanal se deshabilitará para ahorrar minutos de GitHub Actions.

Asignación de ejecutores para la configuración predeterminada

Nota:

Code scanning ve los ejecutores asignados cuando la configuración predeterminada está habilitada. Si se asigna un ejecutor a un repositorio que ya está ejecutando la configuración predeterminada, debe deshabilitar y volver a habilitar la configuración predeterminada para empezar a usar el ejecutor. Si agrega un ejecutor y quiere empezar a usarlo, puede cambiar la configuración manualmente sin necesidad de deshabilitar y volver a habilitar la configuración predeterminada.

Asignación de etiquetas a ejecutores autohospedados

Para asignar un ejecutor autohospedado para la configuración predeterminada, puede usar la etiqueta predeterminada code-scanning, o bien asignarles etiquetas personalizadas para que repositorios individuales puedan usar runners diferentes. Para obtener información sobre la asignación de etiquetas a ejecutores autohospedados, consulte Uso de etiquetas con ejecutores autohospedados.

Una vez que haya asignado etiquetas personalizadas a los ejecutores autohospedados, los repositorios pueden usar esos ejecutores para la configuración predeterminada de code scanning.

También puede usar security configurations para asignar etiquetas a ejecutores autohospedados para code scanning. Consulta Creación de una configuración de seguridad personalizada.

Asegurar el soporte para la construcción

La configuración predeterminada usa el modo de compilación none para C/C++, C#, Java y Rust y el modo de compilación autobuild para otros lenguajes compilados. Debe configurar los ejecutores autohospedados para asegurarte de que pueden ejecutar todos los comandos necesarios para el análisis de C/C++, C# y Swift. Actualmente, el análisis de código JavaScript/TypeScript, Go, Ruby, Python y Kotlin no requiere una configuración especial.

Pasos siguientes

Después de que la configuración se haya ejecutado correctamente al menos una vez, puedes empezar a examinar y resolver alertas del code scanning. Para obtener más información sobre las alertas del code scanning, consulte Acerca de las alertas de análisis de código y Evaluación de alertas de análisis de código para el repositorio.

Después de establecer la configuración predeterminada para code scanning, se puede obtener información sobre cómo funciona y los pasos siguientes que se pueden seguir para personalizarlo. Para más información, consulta Evaluación de la configuración predeterminada para el examen de código.

Puedes encontrar información detallada sobre la configuración del code scanning, incluidas las marcas de tiempo de cada examen y el porcentaje de archivos escaneados, en la página de estado de la herramienta. Para más información, consulta Usar la página de estado de la herramienta para el examen de código.

Al establecer la configuración predeterminada, es posible que encuentres un error. Para obtener información sobre la solución de problemas específicos, consulte Solución de problemas de análisis de código.