Nota:
El administrador del sitio debe habilitar code scanning antes de que puedas utilizar esta característica. Para más información, consulta Configuración la digitalización de código para el dispositivo.
Es posible que no puedas habilitar o deshabilitar code scanning si un propietario de una empresa ha establecido una directiva de GitHub Advanced Security en el nivel de la empresa. Para más información, consulta Aplicación de directivas de seguridad y análisis de código de la empresa.
Code scanning es una característica que se usa para analizar el código en un repositorio de GitHub para buscar vulnerabilidades de seguridad y errores de código. Los problemas identificados por el análisis se muestran en el repositorio.
Puede usar code scanning para buscar, evaluar y priorizar las correcciones de problemas existentes en el código. Code scanning también impide que los desarrolladores introduzcan nuevos problemas. Puede programar los análisis para días y horas concretos, o bien desencadenarlos cuando se produzca un evento específico en el repositorio, como una inserción.
Si code scanning encuentra una posible vulnerabilidad o error en el código, GitHub muestra una alerta en el repositorio. Después de corregir el código que desencadenó la alerta, GitHub cierra la alerta. Para más información, consulta Resolución de alertas de análisis de código.
Para supervisar los resultados de code scanning en sus repositorios o en su organización, puede usar webhooks y la API de code scanning. Para obtener información sobre los webhooks para code scanning, vea Eventos y cargas de webhook. Para obtener información sobre los puntos de conexión de API, consulte Puntos de conexión de la API de REST para el análisis de código.
Para empezar a trabajar con code scanning, consulte Establecimiento de la configuración predeterminada para el examen del código.
Acerca de las herramientas para code scanning
Puede configurar code scanning para usar el producto CodeQL mantenido por GitHub o una herramienta de terceros code scanning.
Acerca del CodeQL análisis
CodeQL es el motor de análisis de código que desarrolló GitHub para automatizar las verificaciones de seguridad. Puedes analizar tu código utilizando CodeQL y mostrando los resultados como alertas del code scanning. Para obtener más información sobre CodeQL, vea [AUTOTITLE](/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning-with-codeql).
Acerca de las herramientas de terceros code scanning
Code scanning es interoperable con herramientas de examen de código de terceros que generan datos de Formato de intercambio de resultados de análisis estáticos (SARIF). SARIF es un estándar de código abierto. Para más información, consulta Soporte de SARIF para escaneo de código.
Puede ejecutar herramientas de análisis de terceros dentro de GitHub usando acciones o dentro de un sistema de integración continua externo. Para más información, consulta Establecimiento de la configuración avanzada para el examen del código o Subir un archivo SARIF a GitHub.
Acerca de página de estado de la herramienta
página de estado de la herramienta Muestra información útil sobre todas las herramientas de análisis de código. Si el análisis de código no funciona como cabría esperar, página de estado de la herramienta es un buen punto de partida para depurar problemas. Para más información, consulta [AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/about-the-tool-status-page).