À propos de cette erreur
SARIF file is too large
SARIF results file is too large
SARIF upload is rejected (bigger than allowed size for zip archive)
SARIF ZIP upload is too large
A fatal error occurred: SARIF file is too large
413: Payload Too Large
L’une de ces erreurs est signalée si un processus tente de charger un fichier SARIF supérieur à la taille maximale de 10 Mo. Code scanning n’accepte pas les fichiers au-dessus de cette taille. Il existe plusieurs façons de réduire le nombre de résultats générés pour le chargement vers code scanning.
Vous pouvez voir cette erreur pour les fichiers SARIF générés par CodeQL ou par des outils d’analyse tiers. Pour plus d’informations sur les limites des chargements, consultez code scanning, consultez « Prise en charge de SARIF pour l’analyse du code ».
Confirmation de la cause de l’erreur
Il existe de nombreuses causes potentielles de fichiers de résultats SARIF très volumineux.
Compression de fichier SARIF
Examinez le fichier de résultats qui a été rejeté par code scanning pour voir si :
- le fichier SARIF a été compressé à l’aide de gzip
- le fichier compressé est inférieur à 10 Mo
Si le fichier n’a pas été compressé à l’aide de gzip, essayez de le compresser avant de réexécuter le processus de chargement. Si le fichier compressé est encore trop volumineux, vous devez configurer l’analyse pour générer un ensemble de résultats plus petit.
Quantité de code analysé
Si vous avez trop de résultats, vous devez configurer l’analyse pour analyser uniquement le code le plus important.
- Pour les langages interprétés, vérifiez si le référentiel contient de nombreux tests, démonstrations ou dépendances fournisseur pour lesquelles la correction des alertes est une priorité inférieure. Essayez d’exclure ce code de l’analyse. Pour plus d’informations, consultez « Exclusion du code de l’analyse pour les langages interprétés ».
- Pour les langages compilés, vérifiez si le processus de build génère plusieurs variantes du code (par exemple, des cibles pour plusieurs environnements d’exploitation ou architectures). Essayez d’analyser une seule variante du code initialement. Pour plus d’informations, consultez « Optimisation de la commande build ».
Nombre d’exécutions des requêtes
Si vous avez encore trop de résultats, vérifiez le nombre de requêtes utilisées pour analyser le code. Essayez d’exécuter moins de requêtes. Vous pouvez réintroduire des requêtes supplémentaires lorsque les alertes initiales sont corrigées. Par exemple, pour l’analyse CodeQL, vous pouvez exécuter uniquement la suite de requêtes par défaut. Pour plus d’informations, consultez « Personnalisation de votre configuration avancée pour l’analyse de code ».
Nombre de résultats trouvés par les requêtes
Parfois, une requête unique signale de nombreux résultats parce que le codebase a un style de codage spécifique ou parce que l’analyse ne comprend pas une bibliothèque particulière. Vous pouvez consulter le fichier de résultats dans une visionneuse SARIF pour voir la distribution des résultats. Par exemple : https://microsoft.github.io/sarif-web-component/.
- Vérifiez si les résultats sont dominés par les alertes identifiées par une requête unique. Essayez d’exclure cette requête de l’analyse. Vous pouvez le réintroduire lorsque d’autres alertes sont corrigées. Pour plus d’informations sur la configuration des requêtes CodeQL, consultez « Exclusion d’une requête de l’analyse ».
- Vérifiez s’il existe des requêtes de flux de données avec de nombreux chemins d’accès profonds. Essayez d’omettre les chemins de flux de données de la sortie. Pour plus d’informations sur la configuration de l’analyse CodeQL, consultez « Omission des chemins de flux de données de la sortie ».
Résolution du problème
Les options suivantes sont répertoriées par ordre de complexité. Vous devez réviser la configuration pour réduire le nombre de résultats à une taille gérable. Une fois que vous avez corrigé toutes ces alertes, vous pouvez mettre à jour la configuration pour développer l’analyse afin de couvrir plus de code ou d’exécuter plus de requêtes.
Exclusion du code de l’analyse pour les langages interprétés
L’exclusion du code de non-production de l’analyse est un moyen simple de réduire la taille du fichier de résultats.
- Configuration avancée CodeQL pour code scanning : utilisez
paths
etpaths-ignore
dans le fichier de workflow pour spécifier le code à analyser. Pour plus d’informations, consultez « Personnalisation de votre configuration avancée pour l’analyse de code ». - CodeQL CLI
database create
: créez un fichier de configuration YAML pour l’analyse du code à l’aide de la même syntaxe pour définir le code à analyser. Mettez à jour la commandedatabase create
pour appeler ce fichier de configuration à l’aide de l’option--codescanning-config
. Pour plus d’informations, consultez « Personnalisation de votre configuration avancée pour l’analyse de code ».
Optimisation de la commande build
L’utilisation d’une commande build qui compile une seule variante est un moyen simple de réduire la taille du fichier de résultats.
- Configuration avancée CodeQL pour code scanning : mettez à jour le fichier de workflow pour spécifier la commande build choisie. Pour plus d’informations, consultez « Analyse du code CodeQL pour les langages compilés ».
- CodeQL CLI
database create
: spécifiez la commande build choisie en appelant la commandedatabase create
avec l’option--command
ou en définissant la commande build dans un fichier de configuration YAML pour l’analyse du code et l’appel du fichier à l’aide de l’option--codescanning-config
. Pour plus d’informations, consultez « Préparation de votre code pour l’analyse CodeQL ».
Définition de la suite de requêtes à exécuter
Vous exécutez peut-être déjà uniquement les requêtes de sécurité par défaut, mais cela vaut la peine d’être vérifié.
- Configuration avancée CodeQL pour code scanning : vérifiez le fichier de workflow à la recherche du mot clé
queries
. S’il n’est pas présent, seule la suite de requêtes par défaut est exécutée. S’il est présent, il définit les requêtes à exécuter. Essayez de commenter cette ligne du fichier de workflow. Pour plus d’informations, consultez « Personnalisation de votre configuration avancée pour l’analyse de code ». - CodeQL CLI
database analyze
: vérifiez la commande d’analyse de la base de données à la recherche de tous les chemins qui spécifient des requêtes, des suites de requêtes ou des packs de requêtes. Si aucun n’est présent, seule la suite de requêtes par défaut est exécutée. S’il en existe, ils définissent les requêtes à exécuter et vous pouvez essayer de les supprimer de l’appel. Pour plus d’informations, consultez « Analyse de votre code avec des requêtes CodeQL ».
Exclusion d’une requête de l’analyse
Si les résultats sont dominés par les résultats d’une règle unique, l’exclusion de la règle de l’analyse peut être la meilleure solution.
- Configuration avancée de CodeQL pour code scanning : utilisez le mot clé
query-filters
pour exclure une ou plusieurs requêtes de l’analyse. Pour plus d’informations, consultez « Personnalisation de votre configuration avancée pour l’analyse de code ». - CodeQL CLI
database analyze
: mettez à jour la commande d’analyse de base de données pour exclure une ou plusieurs requêtes de l’analyse. Pour plus d’informations, consultez « Analyse de votre code avec des requêtes CodeQL ».
Vous pouvez également utiliser un outil comme l’action filter-sarif pour réécrire le fichier SARIF et exclure des détections spécifiques via un modèle d’exclusion.
Omission des chemins de flux de données de la sortie
S’il existe de nombreux chemins de code profond mis en évidence dans les résultats SARIF, vous pouvez réduire le nombre de chemins signalés pour chaque alerte.
-
Configuration avancée CodeQL pour code scanning : mettez à jour l’étape
analyze
pour limiter le nombre de chemins à un ou zéro maximum.- name: Perform CodeQL Analysis uses: github/codeql-action/analyze@v3 env: CODEQL_ACTION_EXTRA_OPTIONS: '{"database":{"interpret-results":["--max-paths", 1]}}'
-
CodeQL CLI
database analyze
: mettez à jour la commande d’analyse de base de données pour inclure l’indicateur--max-paths=1
. Pour plus d’informations, consultez « database analyze ».
Remarque : le paramètre max-paths
affecte les résultats de toutes les requêtes de flux de données.