О code scanning ограничения на результаты SARIF
# SARIF results exceed soft limits
Locations for an alert exceeded limits
Analysis SARIF file exceeded alert limits
Rule tags in SARIF file exceed limits
Alert in SARIF upload exceeded thread flow location limits
Repository is at risk of exceeding the alert limit.
# SARIF results exceed hard limit
Alert(s) in SARIF file exceeded thread flow location limits
Analysis SARIF file rejected due to extension limits
Analysis SARIF file rejected due to location limit
Analysis SARIF file rejected due to rule tag limits
Analysis SARIF file rejected due to result limits
Analysis SARIF file rejected due to rule limits
Analysis SARIF file rejected due to run limits
All analysis uploads blocked due to alert limit
Code scanning задает два типа ограничений полей в файлах результатов SARIF.
- Обратимые ограничения, определяющие, сколько данных хранится и отображается пользователям.
- Жесткие ограничения, определяющие максимальный объем данных, принятых для обработки.
Эти ошибки могут отображаться для ФАЙЛОВ SARIF, созданных CodeQL или сторонними средствами анализа.
Данные SARIF | Максимальные значения | Ограничения усечения данных |
---|---|---|
Выполняется для каждого файла | 20 | нет |
Результаты на выполнение | 25,000 | Будут включены только первые 5000 результатов, приоритетные по серьезности. |
Правила для каждого запуска | 25,000 | нет |
Расширения инструментов для каждого запуска | 100 | нет |
Расположения потоков на результат | 10,000 | Будут включены только первые 1000 расположений потоков, используя приоритет. |
Расположение на результат | 1,000 | Будут включены только 100 расположений. |
Теги для каждого правила | 20 | Будут включены только 10 тегов. |
Ограничение оповещений | 1 000 000 | нет |
Сведения о проверке ФАЙЛА SARIF см. в разделе "Поддержка SARIF для проверки кода".
Исправление ошибок обратимого ограничения
При превышении мягких ограничений code scanning отображает сведения о самом высоком приоритете. Часто вам не нужно вносить изменения в конфигурацию code scanning. По мере того как команда исправляет оповещения, количество результатов, сообщаемых в каждом запуске, уменьшится до тех пор, пока они не находятся в пределах мягких ограничений и отображаются все результаты. Кроме того, можно использовать подходы, описанные для ошибок жесткого ограничения.
Исправление ошибки "Анализ SARIF-файла отклонен из-за ограничений результатов"
Существует множество рекомендаций и потенциальных решений по сокращению числа результатов, включенных в файл результатов SARIF. Инструкции см. в разделе "Файл результатов SARIF слишком велик".
Исправление "Оповещения в SARIF-файле превысили ограничения расположения потока потока"
Вы можете настроить анализ, чтобы ограничить количество путей потока данных, включенных в результаты. По умолчанию для каждого результата включены 4 пути потока данных.
-
Расширенная настройка CodeQL для code scanning: обновите
analyze
шаг, чтобы ограничить количество путей не более одного или нуля.- name: Perform CodeQL Analysis uses: github/codeql-action/analyze env: CODEQL_ACTION_EXTRA_OPTIONS: '{"database":{"interpret-results":["--max-paths", 1]}}'
-
CodeQL CLI
database analyze
: обновите команду анализа базы данных, чтобы включить--max-paths=1
флаг. Дополнительные сведения см. в разделе анализ базы данных.
Note
Параметр max-paths
влияет на результаты всех запросов потока данных.
Исправление "Анализ SARIF-файла отклонен из-за ограничений выполнения"
Самый простой подход заключается в создании нового ФАЙЛА SARIF для каждого запуска и отправки каждого файла отдельно. Вы добавляете "категорию" в каждый результат, и это позволяет code scanning хранить и отображать результаты соответствующим образом. Дополнительные сведения см. в разделе Поддержка SARIF для проверки кода.
Исправление "Анализ SARIF-файла отклонен из-за ограничений правил"
Здесь есть два возможных подхода.
- Уменьшите количество правил, используемых для анализа кода. Дополнительные сведения см. в разделе "Определение набора запросов для выполнения" и "Исключение запроса из анализа" в файле результатов SARIF слишком большой.
- Дважды запустите анализ, каждый раз с другим набором правил и отправьте оба файла результатов в code scanning. Дополнительные сведения см. в разделе Поддержка SARIF для проверки кода.
Исправление ошибки "Анализ SARIF-файла отклонен из-за ограничений расширения"
Самый простой подход заключается в создании отдельного ФАЙЛА SARIF при каждом запуске средства и отправке каждого файла отдельно. Кроме того, вам может потребоваться связаться с обслуживающим средством. Дополнительные сведения см. в разделе Поддержка SARIF для проверки кода.
Анализ CodeQL не должен генерировать эту ошибку. Если при использовании действия CodeQL или CodeQL CLI, обратитесь к Служба поддержки GitHub, чтобы сообщить нам об этом. Дополнительные сведения см. в разделе Обращение в службу поддержки GitHub.
Исправление "Анализ SARIF-файла отклонен из-за ограничения расположения"
Лучший способ устранить эту проблему обычно заключается в том, чтобы определить запрос, который сообщает слишком много расположений и исключить его из анализа. Сведения о том, как это сделать, см. в разделе "Файл результатов SARIF слишком велик".
Исправление ошибки "Анализ SARIF-файла отклонен из-за ограничений тегов правил"
Необходимо обновить ФАЙЛ SARIF или генератор, чтобы массив тегов, сообщаемых для каждого reportingDescriptor
объекта, был меньше 10. Дополнительные сведения см. в разделе properties.tags[]
"Поддержка SARIF для проверки кода".
Исправление "Репозиторий подвержен риску превышения предела оповещений" и "Все отправки анализа заблокированы из-за ограничения оповещений"
Это ограничение активируется репозиторием, создающим более уникальные оповещения, чем когда-либо существовать в рамках хорошо функционирующей конфигурации code scanning . Возможно, это связано с выходными данными используемого стороннего инструмента и может не быть ошибкой конфигурации пользователя. Возможны ошибки конфигурации пользователя и ошибка поставщика инструментов.
Чтобы устранить эту проблему, выполните несколько действий.
- Просмотрите создаваемые файлы SARIF, чтобы определить причину оповещений code scanning классифицируются как отдельные в разных запусках средства. Обычно это связано с одним из следующих:
- Свойство SARIF
artifactLocation.uri
(filepath в пользовательском интерфейсе оповещений code scanning не является детерминированным из-за включения временных каталогов или созданных имен файлов. - Используемое средство создает неустойчивые имена или
artifactLocation object uri property
значения правил SARIF, которые обычно являются результатом использования хэшей (из фиксаций git или SAS образа Docker, например) или других источников данных, которые изменяются в запусках или средах.
- Свойство SARIF
- После того как вы определили источник проблемы, необходимо обновить конфигурацию соответствующим образом и обратиться к поставщику инструментов, если его средство является источником нестабильных результатов SARIF.
- Остановите отправку результатов сканирования кода для любых сторонних средств, которые создают недетерминированные выходные данные, пока они не будут исправлены поставщиком инструментов.
Дополнительные шаги для параметра "Все отправки анализа заблокированы из-за ограничения оповещений"
Помимо исправления конфигурации сканирования кода и удаления или исправления выходных данных сторонних средств, вам потребуется обратиться к ваш администратор сайта для удаления оповещений для любых проблемных конфигураций.
В настоящее время нет метода самообслуживания для удаления оповещений, поэтому перед повторной проверкой кода необходимо обратиться в службу поддержки клиентов.