Code scanning es una característica que se usa para analizar el código en un repositorio de GitHub para buscar vulnerabilidades de seguridad y errores de código. Los problemas identificados por el análisis se muestran en el repositorio.
Puede usar code scanning para buscar, evaluar y priorizar las correcciones de problemas existentes en el código. Code scanning también impide que los desarrolladores introduzcan nuevos problemas. Puede programar los análisis para días y horas concretos, o bien desencadenarlos cuando se produzca un evento específico en el repositorio, como una inserción.
Si code scanning encuentra una posible vulnerabilidad o error en el código, GitHub muestra una alerta en el repositorio. Después de corregir el código que desencadenó la alerta, GitHub cierra la alerta. Para más información, consulta Resolución de alertas de análisis de código.
corrección automática de GitHub Copilot sugerirá correcciones para las alertas del code scanning análisis, lo que permite a los desarrolladores evitar y reducir vulnerabilidades con menos esfuerzo. Para más información, consulta [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/responsible-use-autofix-code-scanning).
Para supervisar los resultados de code scanning en sus repositorios o en su organización, puede usar webhooks y la API de code scanning. Para obtener información sobre los webhooks para code scanning, vea Eventos y cargas de webhook. Para obtener información sobre los puntos de conexión de API, consulte Puntos de conexión de la API de REST para el análisis de código.
Code scanning utiliza GitHub Actions, y cada ejecución del flujo de trabajo consume GitHub Actions minutos. Si quiere usar code scanning en repositorios privados, necesita una GitHub Code Security licencia. Para más información, consulta [AUTOTITLE](/billing/managing-billing-for-github-actions/about-billing-for-github-actions). Para información sobre cómo probar GitHub Advanced Security de forma gratuita, consulta [AUTOTITLE](/billing/managing-billing-for-your-products/managing-billing-for-github-advanced-security/setting-up-a-trial-of-github-advanced-security).
Si desea evaluar la exposición de su organización a vulnerabilidades antes de comprar una licencia, puede ejecutar una licencia gratuita code security risk assessment. Consulte Evaluación del riesgo de seguridad del código.
Para empezar a trabajar con code scanning, consulte Establecimiento de la configuración predeterminada para el examen del código.
Acerca de las herramientas para code scanning
Puede configurar code scanning para usar el producto CodeQL mantenido por GitHub o una herramienta de terceros code scanning.
Acerca del CodeQL análisis
CodeQL es el motor de análisis de código que desarrolló GitHub para automatizar las verificaciones de seguridad. Puedes analizar tu código utilizando CodeQL y mostrando los resultados como alertas del code scanning. Para obtener más información sobre CodeQL, vea [AUTOTITLE](/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning-with-codeql).
Acerca de las herramientas de terceros code scanning
Code scanning es interoperable con herramientas de examen de código de terceros que generan datos de Formato de intercambio de resultados de análisis estáticos (SARIF). SARIF es un estándar de código abierto. Para más información, consulta Soporte de SARIF para escaneo de código.
Puede ejecutar herramientas de análisis de terceros dentro de GitHub usando acciones o dentro de un sistema de integración continua externo. Para más información, consulta Establecimiento de la configuración avanzada para el examen del código o Subir un archivo SARIF a GitHub.
Acerca de página de estado de la herramienta
página de estado de la herramienta Muestra información útil sobre todas las herramientas de análisis de código. Si el análisis de código no funciona como cabría esperar, página de estado de la herramienta es un buen punto de partida para depurar problemas. Para más información, consulta [AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/about-the-tool-status-page).