Saltar a contenido

Escaneo de Código Fuente

El Escaneo de Código Fuente le ayuda a identificar vulnerabilidades de seguridad directamente en su código fuente antes de que lleguen a producción. Al conectar su repositorio de código fuente a Ostorlab, puede escanear sus proyectos en busca de problemas de seguridad comunes, revisar hallazgos prácticos y priorizar la corrección al principio del ciclo de vida del desarrollo.

Esta guía lo acompaña en la configuración de una integración de código fuente y en el lanzamiento de su primer escaneo.


⚙️ Configurar una Integración de Código Fuente

Antes de poder escanear un repositorio, debe conectar su proveedor de código fuente a Ostorlab.

  1. Abra el Panel de control de Ostorlab.
  2. Haga clic en el Menú Hamburguesa en la esquina superior izquierda.
  3. Vaya a Integrations. Seleccionar Integrations
  4. Seleccione la categoría Source Code. Seleccionar la categoría Código Fuente
  5. Elija el proveedor de código fuente que desea conectar (GitHub, GitLab, Bitbucket, Azure DevOps o Self-Hosted Git).
  6. Siga los pasos de configuración específicos del proveedor para autorizar el acceso a sus repositorios.

Once que se complete la integración, sus repositorios estarán disponibles al crear un Escaneo de Código Fuente.


🚀 Crear un Nuevo Escaneo de Código Fuente

Paso 1: Lanzar un Nuevo Escaneo

Después de configurar su integración:

  1. Abra el Panel de control de Ostorlab.
  2. Haga clic en el icono del Menú Hamburguesa en la barra lateral y seleccione Scanning -> New Scan. Lanzar un Nuevo Escaneo
  3. (Opcional) Proporcione un título descriptivo para su auditoría de seguridad. Proporcionar un título descriptivo

Paso 2: Seleccionar el Activo a Escanear

Al crear un nuevo escaneo:

  1. Seleccione Code Repository como activo de escaneo. Seleccionar Code Repository
  2. Elija el repositorio que desea escanear. Elegir el repositorio
  3. Seleccione el Target Type adecuado.
  4. Haga clic en Continue.

Paso 3: Configurar el Proveedor de IA y el Esfuerzo

El Escaneo de Código Fuente es un escaneo agentico impulsado por IA que se puede ejecutar utilizando los Cybermodels de Ostorlab o su clave de API personalizada a través de Bring Your Own Key (BYOK).

  1. Seleccione el proveedor de IA que desea utilizar para el escaneo, ya sea Cybermodels o a través de BYOK. Seleccionar el proveedor de IA
  2. Or seleccione BYOK como proveedor de IA. Seleccionar BYOK

Paso 4: Configurar el Nivel de Esfuerzo

El nivel de Esfuerzo determina qué tan exhaustivamente analiza Ostorlab su repositorio. Los niveles de esfuerzo más hígados proporcionan una cobertura de código más amplia y un análisis más profundo, pero pueden aumentar la duración del escaneo y el consumo de tokens de IA.

  1. Elija el nivel de esfuerzo que mejor se adapte a su repositorio y requisitos de seguridad:
    • Core (200 tokens): Realiza un análisis de línea de base rápido, lo que lo hace ideal para verificaciones rápidas de seguridad durante el desarrollo.
    • Advanced (500 tokens): Proporciona un análisis más profundo con una cobertura de código más amplia para identificar una gama más amplia de problemas de seguridad.
    • Elite (1000 tokens): Realiza el análisis más completo, maximizando la cobertura para detectar vulnerabilidades complejas y difíciles de encontrar. Configurar el nivel de esfuerzo
  2. Haga clic en Continue.

Paso 5: Seleccionar un Perfil de Escaneo

Seleccione el perfil de escaneo Repository Scan Profile, luego haga clic en Submit para iniciar el escaneo. Seleccionar Perfil de Escaneo

Paso 6: Revisar los Resultados

Una vez completado el escaneo, puede revisar los hallazgos detectados en el Panel de control de Ostorlab.

Cada hallazgo incluye su gravedad, archivos afectados y guía de corrección para ayudarlo a priorizar y resolver problemas de seguridad.

Revisar los resultados del escaneo