Примечание. Администратор сайта должен включить code scanning, прежде чем использовать эту функцию. Если вы хотите использовать GitHub Actions для сканирования кода, администратор сайта также должен включить GitHub Actions и настроить необходимую инфраструктуру. Дополнительные сведения см. в разделе Настройка сканирования кода для устройства.
О конфигурации code scanning
Вы можете использовать различные средства для настройки code scanning в репозитории. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Настройка настройки по умолчанию для сканирования кода](/code-security/code-scanning/creating-an-advanced-setup-for-code-scanning/configuring-advanced-setup-for-code-scanning)".
Доступные вам журнал и сведения диагностики зависят от способа, который вы использовали для code scanning в своем репозитории. Можно проверить тип code scanning, который используется, на вкладке Безопасность репозитория, с помощью раскрывающегося меню Инструменты в списке оповещений. Дополнительные сведения см. в разделе Оценка оповещений сканирования кода для репозитория.
Сведения об анализе и диагностике
Вы можете просмотреть аналитическую и диагностическую информацию для выполнения code scanning с помощью анализа CodeQL на GitHub.
Сведения об анализе отображаются для последнего анализа в заголовке в верхней части списка оповещений. Дополнительные сведения см. в разделе Оценка оповещений сканирования кода для репозитория.
Сведения о диагностике отображаются в журналах рабочих процессов действий и состоят из сводных метрик и диагностики средства извлечения. Сведения о доступе к журналам code scanning на GitHub см. в разделе Просмотр выходных данных журнала из code scanning ниже.
Если вы используете CodeQL CLI за пределами GitHub, то увидите сведения диагностики в выходных данных, созданных во время анализа базы данных. Эти сведения также включаются в файл результатов SARIF, который вы отправляете в GitHub с результатами code scanning.
Сведения о CodeQL CLIсм. в разделе "Анализ кода с помощью запросов CodeQL".
Сведения о сводных метриках
Сводные метрики включают:
- Строки кода в базе кода (используется в качестве базового плана) перед созданием и извлечением базы данных CodeQL
- Строки кода в базе данных CodeQL, извлеченные из кода, включая внешние библиотеки и автоматически созданные файлы
- Строки кода в базе данных CodeQL, кроме автоматически созданных файлов и внешних библиотек
Сведения о диагностике извлечения исходного кода CodeQL
Диагностика средства извлечения охватывает только файлы, которые были замечены во время анализа, метрики включают:
- Количество успешно проанализированных файлов
- Количество файлов, которые вызвали ошибки средства извлечения во время создания базы данных
- Количество файлов, которые вызвали предупреждения средства извлечения во время создания базы данных
Более подробные сведения об ошибках и предупреждениях средства извлечения CodeQL, возникших во время создания базы данных, можно просмотреть, включив ведение журнала отладки. Дополнительные сведения см. в разделе Журналы недостаточно подробные.
Просмотр выходных данных журнала из code scanning
Этот раздел относится к выполнению code scanning с помощью GitHub Actions (CodeQL или стороннего производителя).
После настройки code scanning для репозитория можно просмотреть выходные данные действий при выполнении.
-
Под именем репозитория щелкните Actions.
Вы увидите список, содержащий запись, соответствующую рабочему процессу code scanning. Текст записи — это название, которое вы присвоили своему сообщению о фиксации.
-
Нажмите запись, соответствующую рабочему процессу code scanning
Примечание. Если вы ищете рабочий процесс CodeQL, запущенный путем включения настройки по умолчанию, текст записи — "CodeQL".
-
Нажмите на название задания слева. Например, Анализ (ЯЗЫК)
-
Просматривайте журнал результатов действий в рабочем процессе по мере их выполнения.
-
Кроме того, чтобы просмотреть дополнительные сведения о фиксации, которая активировала выполнение рабочего процесса, щелкните хэш короткой фиксации. Хэш короткой фиксации — 7 строчных символов сразу после имени пользователя автор фиксации.
-
После завершения всех заданий можно просмотреть сведения о всех обнаруженных оповещениях code scanning. Дополнительные сведения см. в разделе Оценка оповещений сканирования кода для репозитория.