Логи сканирования кода

Вы можете просмотреть результат, полученный при code scanning анализе, в GitHub.

В этой статье

Доступная вам лог и диагностическая информация зависит от используемого code scanning метода в вашем репозитории. Вы можете проверить тип, code scanning который вы используете, во Security and quality вкладке вашего репозитория, используя выпадающее меню «Инструмент » в списке уведомлений. Чтобы получить доступ к этой странице, смотрите Оценка оповещений сканирования кода для репозитория.

Логи GitHub

Вы можете увидеть информацию о анализе и диагностике для code scanning запуска с помощью CodeQL анализа на GitHub.

  • Сведения об анализе отображаются для последнего анализа в заголовке в верхней части списка оповещений. См . раздел AUTOTITLE.
  • Диагностическая информация отображается в GitHub Actions журналах рабочих процессов и состоит из сводных метрик и диагностики экстрактора. Чтобы получить доступ к этим журналам, см. AUTOTITLE.

Сводные метрики

Сводные метрики включают:

  • Строки кода в базе кода (используется в качестве базового плана) перед созданием и извлечением базы данных CodeQL
  • Строки кода в базе данных CodeQL, извлеченные из кода, включая внешние библиотеки и автоматически созданные файлы
  • Строки кода в базе данных CodeQL, кроме автоматически созданных файлов и внешних библиотек

Диагностика извлечения исходного кода

Диагностика средства извлечения охватывает только файлы, которые были замечены во время анализа, метрики включают:

  • Количество успешно проанализированных файлов
  • Количество файлов, которые вызвали ошибки средства извлечения во время создания базы данных
  • Количество файлов, которые вызвали предупреждения средства извлечения во время создания базы данных

Более подробную информацию об CodeQL ошибках и предупреждениях экстракторов при создании базы данных можно увидеть, включив логирование отладки. См . раздел AUTOTITLE.

Диагностическая информация для частных реестров посылок

          Code scanning Стандартные рабочие процессы настройки включают шаг `Setup proxy for registries` . Когда вы рассматриваете рабочий процесс для настройки по умолчанию, вы можете расширить этот шаг, чтобы увидеть соответствующий журнал. В нём содержится информация о том, какие конфигурации приватного реестра пакетов были доступны для анализа. Кроме того, в журнале содержится некоторая диагностическая информация, которая может помочь в устранении неполадок, если приватные реестры пакетов не будут успешно использованы по code scanning умолчанию. Ищите следующие сообщения:

* Using registries_credentials input. Для организации настроен хотя бы один частный реестр. Это включает конфигурации для типов приватных реестров, которые не поддерживаются code scanning по умолчанию. Для получения дополнительной информации о поддерживаемых типах реестров см. AUTOTITLE.

  • Credentials loaded for the following registries:

    • Если нет списка конфигураций, то не найдено частных конфигураций реестра, поддерживаемых code scanning по умолчанию.
    • В противном случае отображается одна строка для каждой поддерживаемой конфигурации, успешно загруженной. Например, строка, содержащая Type: nuget_feed; Host: undefined; Url: https://nuget.pkg.github.com/; Username: undefined; Password: true; Token: false , указывает, что была загружена приватная конфигурация NuGet Feed.
    • Информация о конфигурации в журнале может не совпадать точно с тем, что настроено для организации в интерфейсе. Например, журнал может указывать, что a Password установлен, даже если a Token настроен в интерфейсе.
  •         `Proxy started on 127.0.0.1:49152` Прокси аутентификации, используемый по code scanning умолчанию для аутентификации в настроенных регистрах частных пакетов, был успешно запущен.

  • После этого могут появляться сообщения о результатах тестов соединений, которые пытаются попасть в настроенные приватные реестры пакетов через прокси аутентификации. Это процесс с наилучшими усилиями. Если эти проверки не успешны для некоторых реестров, это не обязательно означает, что соответствующие конфигурации не работают. Однако если вы обнаружите, что code scanning стандартная настройка не может успешно получить доступ к зависимостям в частных реестрах во время анализа, это может дать информацию для устранения проблемы.

Если результат Setup proxy for registries шага соответствует ожиданиям, но code scanning по умолчанию не удаётся успешно получить доступ к зависимостям в частных реестрах, вы можете получить дополнительную информацию о устранении неполадок. См . раздел AUTOTITLE.

Для получения дополнительной информации о предоставлении code scanning доступа к частным реестрам по умолчанию см. Предоставление доступа к частным реестрам функций безопасности.

Логи для CodeQL CLI

Если вы используете внешний GitHubвидCodeQL CLI, вы увидите диагностическую информацию в результате, полученном при анализе базы данных. Эта информация также включена в файл результатов SARIF.

Вход VS Code

Сообщения о прогрессе и ошибке отображаются в виде уведомлений в правом нижнем углу Visual Studio Code рабочего пространства. Эти ссылки на более подробные журналы и сообщения об ошибках в окне "Вывод".

Вы можете получить доступ к отдельным журналам расширения CodeQL , сервера языка, серверу запросов или тестов. Журнал Language Server содержит более продвинутые отладочные логи для CodeQL поддерживающих языков. Эти сведения необходимо указать только в отчете об ошибке.

Чтобы получить доступ к этим журналам, см. AUTOTITLE.