A informação de registro e diagnóstico disponível para você depende do método que você usa para code scanning no repositório. Você pode verificar o tipo da code scanning que você está usando na guia Segurança do repositório usando o menu suspenso Ferramenta na lista de alertas. Para acessar esta página, consulte AUTOTITLE.
Faça logon no GitHub
Você pode visualizar as análises e informações de diagnóstico para code scanning executar usando as análises de CodeQL em GitHub.
- As informações de análise são mostradas para a análise mais recente em um cabeçalho na parte superior da lista de alertas. Confira AUTOTITLE.
- As informações de diagnóstico são exibidas nos logs de fluxo de trabalho do GitHub Actions e consistem em métricas de resumo e diagnósticos dos extratores. Para acessar esses logs, consulte AUTOTITLE.
Métricas de resumo
As métricas resumidas incluem:
- Linhas de código na base de dados (usadas como linha de base), antes da criação e extração do banco de dados de CodeQL
- Linhas de código no banco de dados CodeQL extraído do código, incluindo bibliotecas externas e arquivos gerados automaticamente
- Linhas de código no banco de dados de CodeQL excluindo arquivos gerados automaticamente e bibliotecas externas
Diagnóstico de extração de código-fonte
Os diagnósticos do extrator só cobrem os arquivos vistos durante a análise. As métricas incluem:
- Número de arquivos analisados com sucesso
- Número de arquivos que geraram erros do extrator durante a criação do banco de dados
- Número de arquivos que geraram avisos do extrator durante a criação do banco de dados
Você pode ver informações detalhadas sobre os erros e avisos do extrator do CodeQL que ocorreram durante a criação do banco de dados habilitando o registro em log de depuração. Confira AUTOTITLE.
Informações de diagnóstico para repositórios privados de pacotes
Os fluxos de trabalho padrão de configuração da Code scanning incluem uma etapa . Ao examinar uma execução de fluxo de trabalho para a configuração padrão, você pode expandir esta etapa para exibir o log correspondente. Isso contém informações sobre quais configurações de registro de pacote privado estavam disponíveis para a análise. Além disso, o log contém algumas informações de diagnóstico que podem ajudar na solução de problemas se os registros de pacote privado não forem usados com êxito pela configuração padrão do code scanning. Procure as seguintes mensagens:
-
Pelo menos um registro privado está configurado para a organização. Isso inclui configurações para tipos de registro privados que não são compatíveis com a configuração padrão do code scanning. Para obter mais detalhes sobre tipos de registro com suporte, consulte AUTOTITLE.
-
Credentials loaded for the following registries:- Se nenhuma lista de configurações for fornecida, então nenhuma configuração de registro privado compatível com a configuração padrão de code scanning foi encontrada.
- Caso contrário, uma linha para cada configuração com suporte que foi carregada com êxito é mostrada. Por exemplo, uma linha que contém indica que uma configuração privada do NuGet Feed foi carregada.
- As informações sobre a configuração no log podem não corresponder exatamente ao que está configurado para a organização na interface do usuário. Por exemplo, o log pode indicar que um está definido, mesmo que um esteja configurado na interface do usuário.
-
O proxy de autenticação utilizado pela configuração padrão de code scanning para autenticar nos registros de pacotes privados configurados foi iniciado com sucesso.
-
Depois disso, pode haver mensagens sobre os resultados dos testes de conexão que tentam alcançar os registros de pacotes privados configurados por meio do proxy de autenticação. Este é um processo de melhor esforço. Se essas verificações não forem bem-sucedidas para alguns registros, isso não significa necessariamente que as configurações relevantes não estão funcionando. No entanto, se você descobrir que a configuração padrão do code scanning não consegue acessar com sucesso as dependências nos registros privados durante a análise, isso pode fornecer informações úteis para ajudar a solucionar o problema.
Se a saída da etapa for a esperada, mas a configuração padrão do code scanning não conseguir acessar as dependências nos registros privados, você pode conseguir informações adicionais para solucionar problemas. Confira AUTOTITLE.
Para mais informações sobre como conceder a code scanning acesso padrão de configuração a registros privados, consulte AUTOTITLE.
Logs para o CodeQL CLI
Se você estiver utilizando o CodeQL CLI fora de GitHub, você verá informações de diagnóstico na saída gerada durante a análise do banco de dados. Essas informações também estão incluídas no arquivo de resultados SARIF.
Logs no VS Code
As mensagens de erro e de progresso são exibidas como notificações no canto inferior direito do espaço de trabalho do Visual Studio Code. Elas estão vinculadas a mais logs detalhados e mensagens de erro na janela "Saída".
Você pode acessar logs separados para a extensão do CodeQL, servidor de linguagem, servidor de consulta ou testes. O log do Servidor de Linguagem contém logs de depuração mais avançados para mantenedores de linguagem do CodeQL. Você só deve precisar deles para fornecer detalhes em um relatório de bugs.
Para acessar esses logs, consulte AUTOTITLE.