Logs de análise de código

As informações de log e diagnóstico disponíveis para você dependem do método que você usa para code scanning em seu repositório. Você pode verificar o tipo de code scanning que você está usando na aba Security and quality do repositório, usando o menu suspenso Ferramenta na lista de alertas. Para acessar esta página, consulte Avaliar alertas de varredura de código para seu repositório.

Fazer logon GitHub

Você pode ver informações de análise e diagnóstico para o resultado da execução de code scanning, usando a análise CodeQL em GitHub.

• As informações de análise são mostradas para a análise mais recente em um cabeçalho na parte superior da lista de alertas. Confira Avaliar alertas de varredura de código para seu repositório.
• As informações de diagnóstico são exibidas nos logs do fluxo de trabalho GitHub Actions e consistem em métricas de resumo e diagnósticos do extrator. Para acessar esses logs, consulte Visualizando os logs de verificação de código do GitHub Actions.

Métricas de resumo

As métricas resumidas incluem:

• Linhas de código na base de dados (usadas como linha de base), antes da criação e extração do banco de dados de CodeQL
• Linhas de código no banco de dados CodeQL extraído do código, incluindo bibliotecas externas e arquivos gerados automaticamente
• Linhas de código no banco de dados de CodeQL excluindo arquivos gerados automaticamente e bibliotecas externas

Diagnóstico de extração de código-fonte

Os diagnósticos do extrator só cobrem os arquivos vistos durante a análise. As métricas incluem:

• Número de arquivos analisados com sucesso
• Número de arquivos que geraram erros do extrator durante a criação do banco de dados
• Número de arquivos que geraram avisos do extrator durante a criação do banco de dados

Você pode ver informações mais detalhadas sobre CodeQL erros e avisos de extrator que ocorreram durante a criação do banco de dados ativando o registro de log de depuração. Confira Os logs não são detalhados o suficiente.

Informações de diagnóstico para repositórios privados de pacotes

          Code scanning os fluxos de trabalho de instalação padrão incluem uma `Setup proxy for registries` etapa. Ao examinar uma execução de fluxo de trabalho para a configuração padrão, você pode expandir esta etapa para exibir o log correspondente. Isso contém informações sobre quais configurações de registro de pacote privado estavam disponíveis para a análise. Além disso, o log contém algumas informações de diagnóstico que podem ajudar na solução de problemas se os registros de pacote privado não forem usados com êxito pela code scanning configuração padrão. Procure as seguintes mensagens:

* Using registries_credentials input. Pelo menos um registro privado está configurado para a organização. Isso inclui configurações para tipos de registro privados que não são suportados pela configuração padrão code scanning. Para obter mais detalhes sobre tipos de registro com suporte, consulte Como dar aos recursos de segurança acesso a registros privados.

• Credentials loaded for the following registries:

  • Se nenhuma lista de configurações seguir, então nenhuma configuração de registro privado com suporte pela configuração padrão de code scanning foi encontrada.
  • Caso contrário, uma linha para cada configuração com suporte que foi carregada com êxito é mostrada. Por exemplo, uma linha que Type: nuget_feed; Host: undefined; Url: https://nuget.pkg.github.com/; Username: undefined; Password: true; Token: false contém indica que uma configuração privada do NuGet Feed foi carregada.
  • As informações sobre a configuração no log podem não corresponder exatamente ao que está configurado para a organização na interface do usuário. Por exemplo, o log pode indicar que um Password está definido, mesmo que um Token esteja configurado na interface do usuário.

•         `Proxy started on 127.0.0.1:49152` O proxy de autenticação usado pela code scanning configuração padrão para autenticar os registros de pacotes privados configurados foi iniciado com êxito.
  

• Depois disso, pode haver mensagens sobre os resultados dos testes de conexão que tentam alcançar os registros de pacotes privados configurados por meio do proxy de autenticação. Este é um processo de melhor esforço. Se essas verificações não forem bem-sucedidas para alguns registros, isso não significa necessariamente que as configurações relevantes não estão funcionando. No entanto, se você perceber que a configuração padrão code scanning não pode acessar com sucesso as dependências nos registros privados durante a análise, isso poderá fornecer algumas informações para ajudar a solucionar o problema.

Se a saída da etapa Setup proxy for registries for conforme o esperado, mas a configuração padrão code scanning não conseguir acessar com êxito as dependências nos registros privados, você poderá obter informações adicionais de diagnóstico. Confira Os logs não são detalhados o suficiente.

Para obter mais informações sobre como fornecer code scanning acesso de instalação padrão a registros privados, consulte Como dar aos recursos de segurança acesso a registros privados.

Logs de CodeQL CLI

Se você estiver usando o CodeQL CLI fora do GitHub, verá, na saída gerada durante a análise do banco de dados, informações de diagnóstico. Essas informações também estão incluídas no arquivo de resultados SARIF.

Faz login VS Code

Mensagens de progresso e erro são exibidas como notificações no canto inferior direito do Visual Studio Code workspace. Elas estão vinculadas a mais logs detalhados e mensagens de erro na janela "Saída".

Você pode acessar logs separados para a extensão, o CodeQL servidor de idiomas, o servidor de consultas ou os testes. O log do Servidor de Idiomas contém logs de depuração mais avançados para CodeQL mantenedores de idioma. Você só deve precisar deles para fornecer detalhes em um relatório de bugs.

Para acessar esses logs, consulte Acessando logs em CodeQL em Visual Studio Code.