Escaneo de Código Fuente
El Escaneo de Código Fuente le ayuda a identificar vulnerabilidades de seguridad directamente en su código fuente antes de que lleguen a producción. Al conectar su repositorio de código fuente a Ostorlab, puede escanear sus proyectos en busca de problemas de seguridad comunes, revisar hallazgos prácticos y priorizar la corrección al principio del ciclo de vida del desarrollo.
Esta guía lo acompaña en la configuración de una integración de código fuente y en el lanzamiento de su primer escaneo.
⚙️ Configurar una Integración de Código Fuente
Antes de poder escanear un repositorio, debe conectar su proveedor de código fuente a Ostorlab.
- Abra el Panel de control de Ostorlab.
- Haga clic en el Menú Hamburguesa en la esquina superior izquierda.
- Vaya a Integrations.

- Seleccione la categoría Source Code.

- Elija el proveedor de código fuente que desea conectar (GitHub, GitLab, Bitbucket, Azure DevOps o Self-Hosted Git).
- Siga los pasos de configuración específicos del proveedor para autorizar el acceso a sus repositorios.
Once que se complete la integración, sus repositorios estarán disponibles al crear un Escaneo de Código Fuente.
🚀 Crear un Nuevo Escaneo de Código Fuente
Paso 1: Lanzar un Nuevo Escaneo
Después de configurar su integración:
- Abra el Panel de control de Ostorlab.
- Haga clic en el icono del Menú Hamburguesa en la barra lateral y seleccione Scanning -> New Scan.

- (Opcional) Proporcione un título descriptivo para su auditoría de seguridad.

Paso 2: Seleccionar el Activo a Escanear
Al crear un nuevo escaneo:
- Seleccione Code Repository como activo de escaneo.

- Elija el repositorio que desea escanear.

- Seleccione el Target Type adecuado.
- Haga clic en Continue.
Paso 3: Configurar el Proveedor de IA y el Esfuerzo
El Escaneo de Código Fuente es un escaneo agentico impulsado por IA que se puede ejecutar utilizando los Cybermodels de Ostorlab o su clave de API personalizada a través de Bring Your Own Key (BYOK).
- Seleccione el proveedor de IA que desea utilizar para el escaneo, ya sea Cybermodels o a través de BYOK.

- Or seleccione BYOK como proveedor de IA.

Paso 4: Configurar el Nivel de Esfuerzo
El nivel de Esfuerzo determina qué tan exhaustivamente analiza Ostorlab su repositorio. Los niveles de esfuerzo más hígados proporcionan una cobertura de código más amplia y un análisis más profundo, pero pueden aumentar la duración del escaneo y el consumo de tokens de IA.
- Elija el nivel de esfuerzo que mejor se adapte a su repositorio y requisitos de seguridad:
- Core (200 tokens): Realiza un análisis de línea de base rápido, lo que lo hace ideal para verificaciones rápidas de seguridad durante el desarrollo.
- Advanced (500 tokens): Proporciona un análisis más profundo con una cobertura de código más amplia para identificar una gama más amplia de problemas de seguridad.
- Elite (1000 tokens): Realiza el análisis más completo, maximizando la cobertura para detectar vulnerabilidades complejas y difíciles de encontrar.

- Haga clic en Continue.
Paso 5: Seleccionar un Perfil de Escaneo
Seleccione el perfil de escaneo Repository Scan Profile, luego haga clic en Submit para iniciar el escaneo.

Paso 6: Revisar los Resultados
Una vez completado el escaneo, puede revisar los hallazgos detectados en el Panel de control de Ostorlab.
Cada hallazgo incluye su gravedad, archivos afectados y guía de corrección para ayudarlo a priorizar y resolver problemas de seguridad.
