Skip to main content

El análisis de examen de código tarda demasiado tiempo

Puede ajustar su configuración code scanning para minimizar el tiempo de análisis.

Note

En este artículo se describen las características disponibles con la versión de la acción CodeQL y el paquete CodeQL CLI asociado incluido en el lanzamiento inicial de esta versión de GitHub Enterprise Server. Si en la empresa se usa una versión más reciente de la acción CodeQL, consulta la versión de GitHub Enterprise Cloud de este artículo para obtener información sobre las características más recientes. Para obtener información sobre el uso de la última versión, consulta Configuración la digitalización de código para el dispositivo.

Hay varios acercamientos que puede intentar para reducir el tiempo de compilación. en un análisis code scanning.

Incrementar la memoria o los núcleos

Puede aumentar la memoria o el espacio en disco disponible en los ejecutores. Si está usando CodeQL para su análisis code scanning, puede revisar los recursos de hardware recomendados para CodeQL y así asegurarse de que los ejecutores cumplen esos requisitos. Para más información, consulta Recursos de hardware recomendados para ejecutar CodeQL.

Utilizar matrices de compilación para paralelizar el análisis

Para acelerar el análisis de flujos de trabajo que implican varios trabajos, puede modificar el flujo de trabajo para usar una matriz. Para más información, consulta Ejecución de variaciones de trabajos en un flujo de trabajo.

El Flujo de trabajo de análisis de CodeQL predeterminado utiliza una matriz de lenguajes, que hace que el análisis de cada uno de ellos se ejecute en paralelo. Sin embargo, si usa CodeQL con configuración avanzada y ha especificado los idiomas que desea analizar directamente en el paso "Inicializar CodeQL", el análisis de cada idioma se realizará secuencialmente. En esta configuración, puede acelerar el análisis modificando el flujo de trabajo de configuración avanzada para usar una matriz. Para obtener un ejemplo, consulta el extracto de flujo de trabajo Algunos lenguajes no se analizaron con la configuración avanzada de CodeQL.

Reducir la cantidad de código que se está analizando en un solo flujo de trabajo

El tiempo de análisis suele ser proporcional a la cantidad de código que se analiza. Si usa CodeQL con configuración avanzada, puede reducir el tiempo de análisis reduciendo la cantidad de código que se analiza a la vez. Por ejemplo, al excluir el código de prueba o dividir el análisis en varios flujos de trabajo que analizan solo un subconjunto del código a la vez.

Para los lenguajes compilados como Java, Kotlin, Go, C, C++, and C#, CodeQL analiza todo el código que se haya compilado durante la ejecución del flujo de trabajo. Para limitar la cantidad de código que se analiza, compile únicamente el código que quiera analizar; para ello, especifique pasos de compilación propios en un bloque run. Puede combinar la especificación de los pasos de compilación propios con el uso de los filtros paths o paths-ignore en los eventos pull_request y push para asegurarse de que el flujo de trabajo solo se ejecuta cuando se cambia código específico. Para más información, consulta Sintaxis del flujo de trabajo para GitHub Actions.

En el caso de los lenguajes como JavaScript, Python y TypeScript que analiza CodeQL sin compilar el código fuente, puede especificar opciones adicionales de configuración para limitar la cantidad de código que se va a analizar. Para más información, consulta Personalización de la configuración avanzada para el examen de código.

Si divide su análisis CodeQL en varios flujos de trabajo, aun así le recomendamos que al menos tenga uno que se ejecute en una schedule que analice todo el código de su repositorio. Ya que CodeQL analiza los flujos de datos entre componentes, algunos comportamientos de seguridad complejos podrían detectarse únicamente en una compilación completa.

Ejecución durante un evento schedule

Es posible que el análisis sea lento durante push o pull_request eventos. Si es así, puede establecer el análisis para que solo se desencadene en el evento schedule. Si usa CodeQL para el análisis de code scanning, puede configurarlo con un flujo de trabajo de configuración avanzada, pero no en la configuración predeterminada. Para más información, consulta Entender las GitHub Actions.

Comprobación de las consultas o reglas que ejecuta el flujo de trabajo

Otra opción para reducir el tiempo de análisis es ejecutar solo las consultas o reglas que considere críticos en los flujos de trabajo que se ejecutan en las solicitudes de incorporación de cambios. Si usa una herramienta de terceros para code scanning, debe consultar la documentación de la herramienta.

En CodeQL, hay dos conjuntos de consultas principales disponibles para cada idioma. Si has optimizado la compilación de la base de datos de CodeQL y el proceso sigue siendo demasiado largo, podrías reducir la cantidad de consultas que ejecutas. El conjunto de consultas predeterminado se ejecuta automáticamente: proporciona el mejor riesgo posible entre la calidad y la velocidad.

Si usa CodeQL con configuración avanzada, puede ejecutar consultas adicionales o conjuntos de consultas además de las consultas predeterminadas. Compruebe si el flujo de trabajo define una consulta adicional o un conjunto de consultas para ejecutarse con el elemento queries. Puedes probar el inhabilitar la consulta o suite de consultas adicionales. Para más información, consulta Personalización de la configuración avanzada para el examen de código.