Acerca del análisis de lenguajes compilados
Cuando los lenguajes compilados se analizan mediante el modo de compilación autobuild
o manual
, CodeQL solo examina los archivos que se compilan durante el análisis. Por lo tanto, la cantidad de líneas de código escaneado será menor de lo esperado si parte del código fuente no se compila correctamente. Esto puede ocurrir por varios motivos:
-
La característica
autobuild
de CodeQL utiliza la heurística para compilar el código de un repositorio. Sin embargo, algunas veces, este enfoque da como resultado un análisis incompleto del repositorio. Por ejemplo, cuando existen varios comandosbuild.sh
en un mismo repositorio, es posible que no se complete el análisis, ya que el pasoautobuild
solo ejecutará uno de los comandos y, por tanto, algunos archivos de código fuente podrían no compilarse. -
Algunos compiladores no funcionan con CodeQL y pueden causar problemas cuando analizan el código. Por ejemplo, CodeQL no reconocerá la mayoría de los compiladores de C específicos de proveedor no se reconocerán. El código de C deberá compilarse con un compilador reconocido (como GCC, Clang o MSVC) para poder analizarse.
Si su análisis de CodeQL examina menos líneas de código de las esperadas, puede probar cambiando el modo de compilación a manual
y especificando comandos de compilación si el flujo de trabajo especifica un modo de compilación, reemplazando el paso autobuild
por comandos de compilación si el flujo de trabajo contiene un paso autobuild
o inspeccionando la copia de los archivos de origen en la base de datos de CodeQL.
Cambie a un proceso de compilaciónmanual
Reemplace el proceso autobuild
con los mismos comandos de compilación que usaría en producción. Esto garantiza que CodeQL sepa exactamente cómo compilar todos los archivos de código fuente que quieras escanear.
Para obtener más información sobre cómo definir los pasos de compilación, consulta Análisis de código de CodeQL para lenguajes compilados.
Inspecciona la copia de los archivos de código fuente en la base de datos de CodeQL
Podrías entender por qué algunos archivos de código fuente no se ha analizado si inspeccionas la copia del código fuente que se incluye utilizando la base de datos de CodeQL. Para obtener la base de datos del flujo de trabajo de Acciones, modifique el paso init
del archivo de flujo de trabajo de CodeQL y establezca debug: true
.
- name: Initialize CodeQL
uses: github/codeql-action/init@v3
with:
debug: true
Esto carga la base de datos como un artefacto de acciones que puedes descargar en tu máquina local. Para más información, consulta Almacenamiento y uso compartido de datos desde un flujo de trabajo.
El artefacto contendrá una copia archivada de los archivos de código fuente examinados por CodeQL denominada src.zip. Si compara los archivos de código fuente del repositorio con los de src.zip, verá qué tipos de archivo faltan. Una vez que sepas qué tipos de archivo son los que no se analizan es más fácil entender cómo podrías cambiar el flujo de trabajo para el análisis de CodeQL.