Escaneo de Código
Análisis automatizado de código para encontrar vulnerabilidades de seguridad, bugs y problemas de calidad de código, típicamente integrado en pipelines CI/CD.
Definicion
El escaneo de código es SAST (Static Application Security Testing) integrado en flujos de trabajo de desarrollo. GitHub Code Scanning usa CodeQL, un motor de análisis semántico que consulta código como una base de datos. GitLab tiene plantillas SAST, y plataformas como Snyk y SonarCloud ofrecen características similares. Los escaneos se ejecutan en pull requests y bloquean el merge cuando se encuentran problemas críticos.
Por que es importante
El escaneo de código captura vulnerabilidades antes de producción, cuando son más baratas de corregir. GitHub Advanced Security ha encontrado más de 50,000 CVEs en código open-source. Al escanear cada PR, los equipos mantienen una línea base de seguridad y previenen regresiones.
Ejemplo
Un desarrollador abre un PR con concatenación SQL. GitHub Code Scanning detecta el riesgo de inyección SQL, añade una anotación de advertencia en la línea vulnerable, y bloquea el merge del PR hasta que se corrija el problema.