Code scanning

You can use code scanning to find security vulnerabilities and errors in the code for your project on GitHub.

¿Quién puede utilizar esta característica?

Code scanning está disponible para los tipos de repositorio siguientes:

  • Repositorios públicos en GitHub.com
  • Repositorios propiedad de la organización en GitHub Team, GitHub Enterprise Cloud, o GitHub Enterprise Server, con GitHub Code Security habilitados.

En este artículo

Code scanning es una característica que se usa para analizar el código en un repositorio de GitHub para buscar vulnerabilidades de seguridad y errores de código. Los problemas identificados por el análisis se muestran en el repositorio.

You can use code scanning to find, triage, and prioritize fixes for existing problems in your code. Code scanning also prevents developers from introducing new problems. You can schedule scans for specific days and times, or trigger scans when a specific event occurs in the repository, such as a push.

If code scanning finds a potential vulnerability or error in your code, GitHub displays an alert in the repository. After you fix the code that triggered the alert, GitHub closes the alert. For more information, see Resolving code scanning alerts.

Corrección automática de GitHub Copilot will suggest fixes for alerts from code scanning analysis, allowing developers to prevent and reduce vulnerabilities with less effort. For more information, see Tarjeta de la aplicación: funciones de IA de GitHub para seguridad y calidad.

To monitor results from code scanning across your repositories or your organization, you can use webhooks and the code scanning API. For information about the webhooks for code scanning, see Eventos y cargas de webhook. For information about API endpoints, see Puntos de conexión de la API de REST para el análisis de código.

Code scanning uses GitHub Actions, with each workflow run consuming GitHub Actions minutes. If you want to use code scanning on private repositories, you need a GitHub Code Security license. For more information, see facturación de Acciones de GitHub. Para obtener información sobre cómo puedes probar GitHub Enterprise con GitHub Advanced Security de forma gratuita, consulta Configuración de una versión de prueba de GitHub Enterprise Cloud y Configuración de una evaluación de GitHub Advanced Security en la documentación de GitHub Enterprise Cloud.

If you want to assess your organization's exposure to vulnerabilities before purchasing a license, you can run a free code security risk assessment. See Code security risk assessment.

To get started with code scanning, see Configuring default setup for code scanning.

About tools for code scanning

You can configure code scanning to use the CodeQL product maintained by GitHub or a third-party code scanning tool.

About CodeQL analysis

CodeQL es el motor de análisis de código que desarrolló GitHub para automatizar las verificaciones de seguridad. Puedes analizar tu código utilizando CodeQL y mostrando los resultados como alertas del code scanning. For more information about CodeQL, see Code scanning with CodeQL.

About third-party code scanning tools

Code scanning es interoperable con herramientas de examen de código de terceros que generan datos de Formato de intercambio de resultados de análisis estáticos (SARIF). SARIF es un estándar de código abierto. Para más información, consulta SARIF support for code scanning.

You can run third-party analysis tools within GitHub using actions or within an external CI system. For more information, see Establecimiento de la configuración avanzada para el examen del código or Uploading a SARIF file to GitHub.

About the página de estado de la herramienta

The página de estado de la herramienta shows useful information about all of your code scanning tools. If code scanning is not working as you'd expect, the página de estado de la herramienta is a good starting point for debugging problems. For more information, see Usar la página de estado de la herramienta para el examen de código.