Skip to main content

database interpret-results

[Plumbing] 将计算的查询结果解释为有意义的格式,例如 SARIF 或 CSV。

谁可以使用此功能?

GitHub CodeQL 在安装后按用户授权。 根据许可证限制,只能将 CodeQL 用于某些任务。 有关详细信息,请参阅“关于 CodeQL CLI”。

如果你有 GitHub Advanced Security 许可证,则可以使用 CodeQL 进行自动分析、持续集成和持续交付。 有关详细信息,请参阅“关于 GitHub 高级安全性”。

本文内容

此内容描述了 CodeQL CLI 的最新版本。 有关此版本的详细信息,请参阅 https://github.com/github/codeql-cli-binaries/releases

若要查看早期版本中此命令可用选项的详细信息,请在终端中使用 --help 选项运行命令。

摘要

Shell
codeql database interpret-results --format=<format> --output=<output> [--threads=<num>] <options>... -- <database> <file|dir|suite>...

说明

[Plumbing] 将计算的查询结果解释为有意义的格式,例如 SARIF 或 CSV。

结果应已使用 codeql database run-queries 计算并存储在 CodeQL 数据库目录中。 (通常需要使用 codeql database analyze 一起执行这些步骤)。

选项

主要选项

<database>

[必需] 已查询的 CodeQL 数据库的路径。

<filesuite>...

在此处重复指定执行了哪些查询。

如果省略,CLI 将使用与 codeql database run-queries 相同的逻辑来确定一组合适的查询。

(在将来的版本中,应该可以省略此内容,改为解释在数据库中找到的所有结果。 目前还无法享受此便利。 很抱歉。)

--format=<format>

[必需] 写入结果时采用的格式。 下列其中一项:

csv:逗号分隔的带格式的值,包括具有规则和警报元数据的列。

sarif-latest:静态分析结果交换格式 (SARIF),这是一种基于 JSON 的格式,用于描述静态分析结果。 此格式选项使用最新的受支持版本 (v2.1.0)。 此选项不适合用于自动化,因为它在不同 CodeQL 版本之间生成不同版本的 SARIF。

sarifv2.1.0:SARIF v2.1.0。

graphtext:表示图形的文本格式。 仅与具有 @kind 图形的查询兼容。

dgml:有向图形标记语言,一种基于 XML 的格式,用于描述图形。 仅与具有 @kind 图形的查询兼容。

dot:Graphviz DOT 语言,一种基于文本的格式,用于描述图形。 仅与具有 @kind 图形的查询兼容。

-o, --output=<output>

[必需] 要向其写入结果的输出路径。 对于图形格式,这应该是一个目录,结果(如果此命令支持解释多个查询,则为多个结果)将写入该目录中。

--max-paths=<maxPaths>

要为每个具有路径的警报生成的最大路径数。 (默认值:4)

--[no-]sarif-add-file-contents

[仅限 SARIF 格式] 包括至少一个结果中引用的所有文件的完整文件内容。

--[no-]sarif-add-snippets

[仅限 SARIF 格式] 包括结果中提到的每个位置的代码片段,在报告的位置前后包含两行上下文。

--[no-]sarif-add-query-help

[仅限 SARIF 格式] [已弃用] 包含所有查询的 Markdown 查询帮助。 它从 /path/to/query.md 文件加载 /path/to/query.ql 的查询帮助。 如果未提供此标志,则默认行为仅包含自定义查询(即查询包中并非 `codeql/<lang&rt;-queries` 形式的查询)的帮助。 此选项在传递给 codeql bqrs interpret 时不起作用。

--sarif-include-query-help=<mode>

[仅限 SARIF 格式] 指定是否在 SARIF 输出中包含查询帮助。 下列其中一项:

always:包含所有查询的查询帮助。

custom_queries_only(默认值)__:仅包含自定义查询(即查询包中并非 `codeql/<lang&rt;-queries` 形式的查询)的查询帮助。

never:不包含任何查询的查询帮助。

此选项在传递给 codeql bqrs interpret 时不起作用。

v2.15.2 起可用。

--[no-]sarif-group-rules-by-pack

[仅限 SARIF 格式] 将每个查询的规则对象置于 <run>.tool.extensions 属性中的相应 QL 包下。 此选项在传递给 codeql bqrs interpret 时不起作用。

--[no-]sarif-multicause-markdown

[仅限 SARIF 格式] 对于有多种原因的警报,除作为纯字符串外,还应将它们作为 Markdown 格式的逐项列表包含在输出中。

--no-group-results

[仅限 SARIF 格式] 每条消息生成一个结果,而不是每个唯一位置生成一个结果。

--csv-location-format=<csvLocationFormat>

在 CSV 输出中生成位置时采用的格式。 即以下值之一:uri、line-column、offset-length。 (默认值:line-column)

--dot-location-url-format=<dotLocationUrlFormat>

一个格式字符串,用于定义在 DOT 输出中生成文件位置 URL 时采用的格式。 可使用以下占位符:{path} {start:line} {start:column} {end:line} {end:column}, {offset}, {length}

--[no-]sublanguage-file-coverage

[仅 GitHub.com 和 GitHub Enterprise Server v3.12.0+] 使用子语言文件覆盖信息。 这会为共享 C 和 C++、Java 和 Kotlin,以及 JavaScript 和 TypeScript 等 CodeQL 提取程序包的语言计算、显示和导出单独的文件覆盖信息。

v2.15.2 起可用。

--sarif-category=<category>

[仅限 SARIF 格式] 指定要包含在 SARIF 输出中的此分析的类别。 类别可用于区分在同一提交和存储库上(但在不同语言或代码的不同部分)执行的多次分析。

如果以几种不同的方式(例如,针对不同的语言)分析同一版本的代码库并将结果上传到 GitHub 以在代码扫描中展示,则该值在每次分析之间应该不同,这告知代码扫描分析是相互补充的而不是相互取代的 。 (对于不同版本的代码库,相同分析的运行之间的值应保持一致。)

此值将作为 SARIF v1 中的 <run>.automationId 属性、SARIF v2 中的 <run>.automationLogicalId 属性和 SARIF v2.1.0 中的 <run>.automationDetails.id 属性出现(如果不存在,则附加斜杠)。

-j, --threads=<num>

用于计算路径的线程数。

默认值为 1。 可以传递 0 以在计算机上每个核心使用一个线程,也可以传递 -N 将 N 个核心保留为未使用状态(除仍至少使用一个线程外) 。

--no-database-extension-packs

[高级] 在数据库创建(无论通过代码扫描配置文件还是通过分析代码库“扩展”目录中存储的扩展文件)期间忽略数据库中存储的扩展包。

--[no-]print-diagnostics-summary

将分析诊断的摘要输出到标准输出。

--[no-]print-metrics-summary

将分析指标的摘要输出到标准输出。

--[no-]analysis-summary-v2

[仅 GitHub.com 和 GitHub Enterprise Server v3.9.0+] 使用优化版分析摘要。 这会合并文件覆盖信息,并改进诊断结果的显示方式。

v2.15.2 起可用。

--[no-]print-baseline-loc

将计数的基线代码行输出到标准输出。

用于配置 CodeQL 包管理器的选项

--registries-auth-stdin

通过传递逗号分隔的 <registry_url>=<token> 对列表,向 GitHub Enterprise Server 容器注册表进行身份验证。

例如,可以传递 https://containers.GHEHOSTNAME1/v2/=TOKEN1,https://containers.GHEHOSTNAME2/v2/=TOKEN2 向两个 GitHub Enterprise Server 实例进行身份验证。

这会替代 CODEQL_REGISTRIES_AUTH and GITHUB_TOKEN 环境变量。 如果只需向 github.com 容器注册表进行身份验证,则可以改用更简单的 --github-auth-stdin 选项进行身份验证。

--github-auth-stdin

通过标准输入传递 github.com GitHub 应用令牌或个人访问令牌,对 github.com 容器注册表进行身份验证。

若要向 GitHub Enterprise Server 容器注册表进行身份验证,请传递 --registries-auth-stdin 或使用 CODEQL_REGISTRIES_AUTH 环境变量。

这会替代 GITHUB_TOKEN 环境变量。

用于查找 QL 包的选项(可能需要此包才可解释查询套件)

--search-path=<dir>[:<dir>...]

可在其中找到 QL 包的目录列表。 每个目录可以是一个 QL 包(或在根目录下包含一个 .codeqlmanifest.json 文件的多个包),也可以是一个或多个此类目录的直接父目录。

如果路径包含多个目录,则它们的顺序定义了它们之间的优先级:当必须解析的包名称在多个目录树中匹配时,给定的第一个目录树优先。

在查询其中一种语言时,将其指向开源 CodeQL 存储库的签出应该是可行的。

如果已将 CodeQL 存储库签出为未打包的 CodeQL 工具链的同级,则无需提供此选项;将始终在此类同级目录中搜索以其他方式找不到的 QL 包。 (如果此默认值不起作用,强烈建议在每用户配置文件中一次性设置 --search-path)。

(注意:在 Windows 上,路径分隔符为 ;)。

--additional-packs=<dir>[:<dir>...]

如果给定了此目录列表,则先在这些目录中的搜索包,然后在 --search-path 中的目录搜索包。 它们之间的顺序并不重要;如果在此列表的两个不同位置发现同一个包名称,这是一个错误。

如果你正临时开发一个同时出现在默认路径中的新版本的包,这将非常有用。 另一方面,建议不要在配置文件中替代此选项;一些内部操作将动态添加此选项,覆盖任何配置的值。

(注意:在 Windows 上,路径分隔符为 ;)。

常用选项

-h, --help

显示此帮助文本。

-J=<opt>

[高级] 为运行命令的 JVM 提供选项。

(请注意,无法正确处理包含空格的选项。)

-v, --verbose

以增量方式增加输出的进度消息数。

-q, --quiet

以增量方式减少输出的进度消息数。

--verbosity=<level>

[高级] 将详细级别显式设置为“错误”、“警告”、“进度”、“进度+”、“进度++”、“进度+++”之一。 重写 -v-q

--logdir=<dir>

[高级] 将详细日志写入给定目录中的一个或多个文件,其中生成的名称包括时间戳和正在运行的子命令的名称。

(若要使用可以完全控制的名称编写日志文件,请根据需要提供 --log-to-stderr 并重定向 stderr。)

--common-caches=<dir>

[高级] 控制磁盘上缓存数据的位置,此位置会在多次运行 CLI(例如下载的 QL 包和已编译查询计划)期间暂留。 如果未明确设置,则默认为用户主目录中名为 .codeql 的目录;如果尚不存在,则会创建该目录。

v2.15.2 起可用。