Skip to main content

database run-queries

[연결] 쿼리 집합을 함께 실행합니다.

누가 이 기능을 사용할 수 있는 있나요?

GitHub CodeQL은(는) 설치 시 사용자별로 라이선스가 부여됩니다. 라이선스 제한에 따라 특정 작업에만 CodeQL을(를) 사용할 수 있습니다. 자세한 내용은 "CodeQL CLI 알아보기"을 참조하세요.

GitHub Advanced Security 라이선스가 있는 경우 CodeQL을(를) 사용하여 분석 자동화, 연속 통합 및 지속적인 업데이트를 할 수 있습니다. 자세한 내용은 "GitHub Advanced Security 정보.

이 문서의 내용

이 콘텐츠는 CodeQL CLI의 최신 릴리스에 대해 설명합니다. 이 요소에 대한 자세한 내용은 https://github.com/github/codeql-cli-binaries/releases을(를) 참조하세요.

이전 릴리스에서 이 명령에 사용할 수 있는 옵션의 세부 정보를 보려면 터미널에서 옵션을 사용하여 --help 명령을 실행합니다.

개요

Shell
codeql database run-queries [--threads=<num>] [--ram=<MB>] <options>... -- <database> <query|dir|suite|pack>...

설명

[연결] 쿼리 집합을 함께 실행합니다.

CodeQL 데이터베이스에 대해 하나 이상의 쿼리를 실행하여 결과를 데이터베이스 디렉터리의 결과 하위 디렉터리에 저장합니다.

결과는 나중에 codeql database interpret-results를 통해 읽을 수 있는 형식으로 변환하거나 codeql bqrs decode 또는 codeql bqrs interpret를 사용하여 쿼리할 수 있습니다.

쿼리가 소스 코드 경고로 해석될 수 있는 형식으로 결과를 생성하는 경우 codeql database analyze가 더 편리한 실행 방법일 수 있습니다. codeql database analyzecodeql database run-queriescodeql database interpret-results를 한 단계로 결합합니다. 특히 codeql database analyze는 다양한 경고 뷰어와 함께 사용할 수 있는 SARIF 형식의 출력을 생성할 수 있습니다.

또는 실행할 쿼리가 하나뿐인 경우 디버깅하는 동안 결과를 빠르게 검사하기 위해 사람이 읽을 수 있는 출력을 표시할 수 있는 codeql query run을 선호할 수 있습니다.

옵션

기본 옵션

<database>

[필수] 쿼리할 CodeQL 데이터베이스의 경로입니다.

<querysuite|pack>...

실행할 쿼리입니다. 각 인수는 scope/name@range:path 형식입니다.

  • scope/name은 CodeQL 팩의 정규화된 이름입니다.
  • range는 semver 범위입니다.
  • path는 파일 시스템 경로입니다.

scope/name을 지정하면 rangepath는 선택 사항입니다. 누락된 range는 지정된 팩의 최신 버전을 의미합니다. 누락된 path는 지정된 팩의 기본 쿼리 도구 모음을 의미합니다.

path*.ql 쿼리 파일, 하나 이상의 쿼리가 포함된 디렉터리 또는 .qls 쿼리 도구 모음 파일 중 하나일 수 있습니다. 지정된 팩 이름이 없으면 path를 제공해야 하며 현재 프로세스의 현재 작업 디렉터리를 기준으로 해석됩니다.

리터럴 @ 또는 :을 포함하는 path를 지정하려면 path:directory/with:and@/chars와 같이 인수의 접두사로 path:를 사용합니다.

scope/namepath를 지정하면 path는 절댓값이 될 수 없습니다. CodeQL 팩의 루트에 상대적인 것으로 간주됩니다.

쿼리가 지정되지 않은 경우 CLI는 실행할 적절한 쿼리 집합을 자동으로 결정합니다. 특히 데이터베이스를 만들 때 --codescanning-config를 사용하여 코드 검사 구성 파일을 지정한 경우 이 파일의 쿼리가 사용됩니다. 그렇지 않으면 분석 중인 언어에 대한 기본 쿼리가 사용됩니다.

--no-rerun

출력 위치에 이미 BQRS 결과가 저장된 것처럼 보이는 쿼리의 평가를 생략합니다.

--no-database-extension-packs

[고급] 데이터베이스 생성 시 데이터베이스에 저장된 확장 팩을 코드 검사 구성 파일에서 또는 분석된 코드베이스의 '확장' 디렉터리에 저장된 확장 파일에서 생략합니다.

--no-database-threat-models

[고급] 데이터베이스 생성 시 데이터베이스에 저장된 위협 모델 구성을 코드 검사 구성 파일에서 생략합니다.

사용할 위협 모델을 제어하는 옵션

--threat-model=<name>...

사용하거나 사용하지 않도록 설정할 위협 모델의 목록입니다.

인수는 위협 모델의 이름이며, 선택 사항으로 앞에 '!'가 올 수 있습니다. '!'가 없으면, 명명된 위협 모델 및 모든 하위 항목이 사용하도록 설정됩니다. '!'가 있으면, 명명된 위협 모델 및 모든 하위 항목이 사용하지 않도록 설정됩니다.

'기본' 위협 모델은 기본적으로 사용하도록 설정되지만, '--threat-model !default'를 지정하여 사용하지 않도록 설정할 수 있습니다.

'모두' 위협 모델을 사용하여 모든 위협 모델을 사용하거나 사용하지 않도록 설정할 수 있습니다.

--threat-model 옵션은 순서대로 처리됩니다. 예를 들어, '--threat-model local --threat-model !environment'는 '환경' 위협 모델을 제외한 '로컬' 그룹의 모든 위협 모델을 사용하도록 설정합니다.

이 옵션은 위협 모델을 지원하는 언어에만 적용됩니다.

v2.15.3부터 사용할 수 있습니다.

쿼리 평가기를 제어하는 옵션

--[no-]tuple-counting

[고급] 쿼리 평가기 로그에 각 평가 단계에 대한 튜플 수를 표시합니다. --evaluator-log 옵션이 제공되면 명령으로 생성된 텍스트 기반 및 구조화된 JSON 로그 모두에 튜플 수가 포함됩니다. (복잡한 QL 코드의 성능 최적화에 유용할 수 있습니다.)

--timeout=<seconds>

[고급] 쿼리 평가에 대한 시간 제한 길이(초)를 설정합니다.

시간 제한 기능은 복잡한 쿼리를 평가하는 데 "영원히" 걸리는 사례를 잡아내기 위한 것입니다. 쿼리 평가에 걸릴 수 있는 총 시간을 제한하는 효과적인 방법은 아닙니다. 별도로 시간이 지정된 각 계산 부분이 시간 제한 내에 완료되는 한 평가를 계속할 수 있습니다. 현재 이렇게 별도로 시간이 지정된 부분은 최적화된 쿼리의 "RA 계층"이지만 나중에 변경될 수 있습니다.

시간 제한이 지정되지 않거나 0으로 지정된 경우 시간 제한이 설정되지 않습니다(기본 시간 제한이 5분인 codeql test run 제외).

-j, --threads=<num>

해당 스레드 수를 사용하여 쿼리를 평가합니다.

기본값은 1입니다. 0을 전달하여 컴퓨터의 코어당 하나의 스레드를 사용하거나 -_N_을 전달하여 _N_개의 코어를 사용하지 않은 상태로 둘 수 있습니다(하나 이상의 스레드를 계속 사용하는 경우 제외).

--[no-]save-cache

[고급] 디스크 캐시에 중간 결과를 적극적으로 기록합니다. 시간이 더 많이 걸리고 디스크 공간이 훨씬 더 많이 사용되지만 유사한 쿼리의 후속 실행 속도가 빨라질 수 있습니다.

--[no-]expect-discarded-cache

[고급] 쿼리가 실행된 후 캐시가 삭제된다는 가정에 따라 평가할 조건자와 디스크 캐시에 기록할 내용을 결정합니다.

--[no-]keep-full-cache

[고급] 평가가 완료된 후 디스크 캐시를 정리하지 않습니다. 나중에 codeql dataset cleanup 또는 codeql database cleanup을 수행하려는 경우 시간이 절약됩니다.

--max-disk-cache=<MB>

중간 쿼리 결과에 대해 디스크 캐시가 사용할 수 있는 최대 공간을 설정합니다.

이 크기가 명시적으로 구성되지 않은 경우 평가기는 데이터 세트의 크기와 쿼리의 복잡성에 따라 "합리적인" 양의 캐시 공간을 사용하려고 합니다. 이 기본 사용량보다 높은 한도를 명시적으로 설정하면 추가 캐싱이 가능해지므로 이후 쿼리의 속도를 높일 수 있습니다.

--min-disk-free=<MB>

[고급] 파일 시스템에서 사용 가능한 공간의 목표량을 설정합니다.

--max-disk-cache가 지정되지 않은 경우 파일 시스템의 사용 가능한 공간이 이 값 아래로 떨어지면 평가기는 디스크 캐시 사용량을 줄이려고 노력합니다.

--min-disk-free-pct=<pct>

[고급] 파일 시스템에서 사용 가능한 공간의 목표 비율을 설정합니다.

--max-disk-cache가 지정되지 않은 경우 파일 시스템의 사용 가능한 공간이 이 백분율 아래로 떨어지면 평가기는 디스크 캐시 사용량을 줄이려고 노력합니다.

--external=<pred>=<file.csv>

외부 조건자 <pred> 의 행을 포함하는 CSV 파일입니다. 여러 --external 옵션을 제공할 수 있습니다.

--xterm-progress=<mode>

[고급] xterm 컨트롤 시퀀스를 사용하여 QL 평가 중에 진행률 추적을 표시할지 여부를 제어합니다. 가능한 값은 다음과 같습니다.

no: 복잡한 진행률을 생성하지 않습니다. 멍청한 터미널을 가정합니다.

auto (기본값): 명령이 적절한 터미널에서 실행되고 있는지 여부를 자동으로 감지합니다.

yes: 터미널이 xterm 컨트롤 시퀀스를 이해할 수 있다고 가정합니다. 이 기능은 터미널의 _크기_를 자동으로 감지할 수 있는지 여부에 따라 달라지며 -q가 지정된 경우 사용되지 않습니다.

25x80 (또는 이와 유사): yes와 같습니다. 또한 터미널의 크기를 명시적으로 지정합니다.

25x80:/dev/pts/17 (또는 이와 유사): stderr와 다른 터미널에서 복잡한 진행률을 표시합니다. 주로 내부 테스트에 유용합니다.

구조화된 평가기 로그의 출력을 제어하는 옵션

--evaluator-log=<file>

[고급] 평가기 성능에 대한 구조화된 로그를 지정된 파일로 출력합니다. 이 로그 파일의 형식은 예고 없이 변경될 수 있지만 두 개의 줄 바꿈 문자(기본값) 또는 --evaluator-log-minify 옵션이 전달된 경우 하나의 기본값 문자로 구분된 JSON 개체 스트림입니다. codeql generate log-summary <file>을(를) 사용하여 이 파일에 대한 보다 안정적인 요약을 생성하고 파일을 직접 구문 분석하지 마십시오. 파일이 이미 있으면 덮어씁니다.

--evaluator-log-minify

[고급] --evaluator-log 옵션을 전달하는 경우 이 옵션도 전달하면 생성되는 JSON 로그의 크기가 최소화되지만 가독성이 훨씬 떨어집니다.

RAM 사용량을 제어하는 옵션

-M, --ram=<MB>

쿼리 평가기는 총 메모리 공간을 이 값 아래로 유지하기 위해 열심히 노력합니다. (그러나 큰 데이터베이스의 경우 메모리가 부족하면 디스크로 교환할 수 있는 파일 지원 메모리 맵으로 임계값이 손상될 수 있습니다.)

값은 2048MB 이상이어야 합니다. 작은 값은 투명하게 반올림됩니다.

QL 컴파일을 제어하는 옵션

--warnings=<mode>

QL 컴파일러에서 경고를 처리하는 방법입니다. 다음 중 하나입니다.

hide: 경고를 표시하지 않습니다.

show (기본값): 경고를 출력하지만 컴파일을 계속합니다.

error: 경고를 오류로 처리합니다.

--no-debug-info

디버깅을 위해 RA에서 원본 위치 정보를 내보내지 않습니다.

--[no-]fast-compilation

[사용되지 않음] [고급] 특히 느린 최적화 단계를 생략합니다.

--no-release-compatibility

[고급] 이식성을 희생하고 최신 컴파일러 기능을 사용합니다.

때때로 QL 평가기는 새로운 QL 언어 기능 및 평가기 최적화를 QL 컴파일러가 기본적으로 사용하기 전에 몇몇 릴리스에서 지원합니다. 이렇게 하면 최신 CodeQL 릴리스에서 쿼리를 개발할 때 경험하는 성능이 코드 검사 또는 CI 통합에 아직 사용 중일 수 있는 약간 이전 릴리스와 일치할 수 있습니다.

쿼리가 다른(이전 또는 이후) CodeQL 릴리스와 호환되는 것에 신경 쓰지 않는 경우 이 플래그를 사용하여 컴파일러의 최근 개선 사항을 조기에 사용하도록 설정하고 약간의 추가 성능을 얻을 수 있습니다.

사용할 수 있는 최근 개선 사항이 없는 릴리스에서 이 옵션은 자동으로 아무 작업도 수행하지 않습니다. 따라서 전역 CodeQL 구성 파일에서 한 번만 설정해도 안전합니다.

v2.11.1부터 사용할 수 있습니다.

--[no-]local-checking

사용되는 QL 원본 부분에서만 초기 검사를 수행합니다.

--no-metadata-verification

QLDoc 주석에 포함된 쿼리 메타데이터의 유효성을 검사하지 않습니다.

--compilation-cache-size=<MB>

[고급] 컴파일 캐시 디렉터리의 기본 최대 크기를 재정의합니다.

--fail-on-ambiguous-relation-name

[고급] 컴파일 중에 모호한 관계 이름이 생성되면 컴파일에 실패합니다.

컴파일 환경을 설정하는 옵션

--search-path=<dir>[:<dir>...]

QL 팩을 찾을 수 있는 디렉터리 목록입니다. 각 디렉터리는 QL 팩(또는 루트에 .codeqlmanifest.json 파일이 포함된 팩 번들) 또는 그러한 디렉터리 하나 이상의 직계 부모일 수 있습니다.

경로에 둘 이상의 디렉터리가 포함된 경우 디렉터리의 순서가 우선 순위를 정의합니다. 확인해야 하는 팩 이름이 디렉터리 트리 중 둘 이상에서 일치하는 경우 먼저 지정된 디렉터리가 우선합니다.

오픈 소스 CodeQL 리포지토리의 체크 아웃에서 이를 가리키면 해당 리포지토리에 있는 언어 중 하나를 쿼리할 때 작동해야 합니다.

압축을 푼 CodeQL 툴체인의 형제로 CodeQL 리포지토리를 체크 아웃한 경우 이 옵션을 지정할 필요가 없습니다. 이러한 형제 디렉터리는 다른 방법으로는 찾을 수 없는 QL 팩으로 항상 검색됩니다. (이 기본값이 작동하지 않는 경우 사용자별 구성 파일에서 --search-path를 한 번만 설정하는 것이 좋습니다).

(참고: Windows에서는 경로 구분 기호가 ;입니다.)

--additional-packs=<dir>[:<dir>...]

이 디렉터리 목록이 지정된 경우 --search-path에 있는 디렉터리보다 먼저 팩이 검색됩니다. 이 사이의 순서는 중요하지 않습니다. 이 목록을 통해 서로 다른 두 위치에서 팩 이름을 찾을 경우 오류가 발생합니다.

이 기능은 기본 경로에도 표시되는 팩의 새 버전을 일시적으로 개발하는 경우에 유용합니다. 반면에 구성 파일에서 이 옵션을 재정의하는 것은 권장되지 않습니다. 일부 내부 작업에서는 구성된 값을 재정의하여 즉시 이 옵션을 추가합니다.

(참고: Windows에서는 경로 구분 기호가 ;입니다.)

--library-path=<dir>[:<dir>...]

[고급] QL 라이브러리의 원시 가져오기 검색 경로에 추가될 선택적 디렉터리 목록입니다. QL 팩으로 패키지되지 않은 QL 라이브러리를 사용하려는 경우에만 사용해야 합니다.

(참고: Windows에서는 경로 구분 기호가 ;입니다.)

--dbscheme=<file>

[고급] 컴파일해야 하는 dbscheme 쿼리를 명시적으로 정의합니다. 자신이 수행하고 있는 작업에 대해 매우 확신하는 호출자에 의해서만 지정되어야 합니다.

--compilation-cache=<dir>

[고급] 컴파일 캐시로 사용할 추가 디렉터리를 지정합니다.

--no-default-compilation-cache

[고급] 쿼리를 포함하는 QL 팩 또는 CodeQL 툴체인 디렉터리와 같은 표준 위치에서 컴파일 캐시를 사용하지 않습니다.

CodeQL 패키지 관리자를 구성하는 옵션

--registries-auth-stdin

쉼표로 구분된 <registry_url>=<token> 쌍 목록을 전달하여 GitHub Enterprise Server 컨테이너 레지스트리에 인증합니다.

예를 들어 https://containers.GHEHOSTNAME1/v2/=TOKEN1,https://containers.GHEHOSTNAME2/v2/=TOKEN2를 전달하여 두 개의 GitHub Enterprise Server 인스턴스에 인증할 수 있습니다.

이렇게 하면 CODEQL_REGISTRIES_AUTH 및 GITHUB_TOKEN 환경 변수가 재정의됩니다. github.com 컨테이너 레지스트리에만 인증해야 하는 경우 더 간단한 --github-auth-stdin 옵션을 사용하여 인증할 수 있습니다.

--github-auth-stdin

표준 입력을 통해 github.com에 GitHub Apps 토큰 또는 개인용 액세스 토큰을 전달하여 github.com 컨테이너 레지스트리에 인증합니다.

GitHub Enterprise Server 컨테이너 레지스트리에 인증하려면 --registries-auth-stdin을 전달하거나 CODEQL_REGISTRIES_AUTH 환경 변수를 사용합니다.

이렇게 하면 GITHUB_TOKEN 환경 변수가 재정의됩니다.

일반 옵션

-h, --help

이 도움말 텍스트를 표시합니다.

-J=<opt>

[고급] 명령을 실행하는 JVM에 옵션을 지정합니다.

(공백을 포함하는 옵션은 올바르게 처리되지 않을 수 있으니 주의하세요.)

-v, --verbose

출력되는 진행률 메시지 수를 점진적으로 늘립니다.

-q, --quiet

출력되는 진행률 메시지 수를 점진적으로 줄입니다.

--verbosity=<level>

[고급] 세부 정보 표시 수준을 오류, 경고, 진행률, 진행률+, 진행률++, 진행률+++ 중 하나로 명시적으로 설정합니다. -v-q를 재정의합니다.

--logdir=<dir>

[고급] 타임스탬프와 실행 중인 하위 명령의 이름을 포함하는 생성된 이름을 사용하여 지정된 디렉터리에 있는 하나 이상의 파일에 자세한 로그를 기록합니다.

(모든 권한을 가진 이름으로 로그 파일을 작성하려면 --log-to-stderr을(를) 지정하고 stderr를 원하는 대로 리디렉션합니다.)

--common-caches=<dir>

[고급] 다운로드한 QL 팩 및 컴파일된 쿼리 계획과 같이 여러 CLI 실행 간에 유지되는 디스크의 캐시된 데이터의 위치를 제어합니다. 명시적으로 설정하지 않은 경우 이 기본값은 사용자의 홈 디렉터리에 이름이 지정된 .codeql 디렉터리로 설정되며, 아직 없는 경우 만들어집니다.

v2.15.2부터 사용할 수 있습니다.