database interpret-results

此内容描述了 CodeQL CLI 的最新版本。有关此版本的详细信息，请参阅 https://github.com/github/codeql-cli-binaries/releases 。

若要查看早期版本中此命令可用选项的详细信息，请在终端中使用 --help 选项运行命令。

摘要

Shell

codeql database interpret-results --format=<format> --output=<output> [--threads=<num>] <options>... -- <database> <file|dir|suite>...

codeql database interpret-results --format=<format> --output=<output> [--threads=<num>] <options>... -- <database> <file|dir|suite>...

说明

[Plumbing] 将计算的查询结果解释为有意义的格式，例如 SARIF 或 CSV。

结果应已使用 codeql database run-queries 计算并存储在 CodeQL 数据库目录中。（通常需要使用 codeql database analyze 一起执行这些步骤）。

选项

主要选项

`<database>`

[必需] 已查询的 CodeQL 数据库的路径。

`<filesuite>...`

在此处重复指定执行了哪些查询。

如果省略，CLI 将使用与 codeql database run-queries 相同的逻辑来确定一组合适的查询。

（在将来的版本中，应该可以省略此内容，改为解释在数据库中找到的所有结果。目前还无法享受此便利。很抱歉。）

`--format=<format>`

[必需] 写入结果时采用的格式。下列其中一项：

csv：逗号分隔的带格式的值，包括具有规则和警报元数据的列。

sarif-latest：静态分析结果交换格式 (SARIF)，这是一种基于 JSON 的格式，用于描述静态分析结果。此格式选项使用最新的受支持版本 (v2.1.0)。此选项不适合用于自动化，因为它在不同 CodeQL 版本之间生成不同版本的 SARIF。

sarifv2.1.0：SARIF v2.1.0。

graphtext：表示图形的文本格式。仅与具有 @kind 图形的查询兼容。

dgml：有向图形标记语言，一种基于 XML 的格式，用于描述图形。仅与具有 @kind 图形的查询兼容。

dot：Graphviz DOT 语言，一种基于文本的格式，用于描述图形。仅与具有 @kind 图形的查询兼容。

`-o, --output=<output>`

[必需] 要向其写入结果的输出路径。对于图形格式，这应该是一个目录，结果（如果此命令支持解释多个查询，则为多个结果）将写入该目录中。

`--max-paths=<maxPaths>`

要为每个具有路径的警报生成的最大路径数。（默认值：4）

`--[no-]sarif-add-file-contents`

[仅限 SARIF 格式] 包括至少一个结果中引用的所有文件的完整文件内容。

`--[no-]sarif-add-snippets`

[仅限 SARIF 格式] 包括结果中提到的每个位置的代码片段，在报告的位置前后包含两行上下文。

`--[no-]sarif-add-query-help`

[仅限 SARIF 格式] [已弃用] 包含所有查询的 Markdown 查询帮助。它从 /path/to/query.md 文件加载 /path/to/query.ql 的查询帮助。如果未提供此标志，则默认行为仅包含自定义查询（即查询包中并非 `codeql/<lang&rt;-queries` 形式的查询）的帮助。此选项在传递给 codeql bqrs interpret 时不起作用。

`--sarif-include-query-help=<mode>`

[仅限 SARIF 格式] 指定是否在 SARIF 输出中包含查询帮助。下列其中一项：

always：包含所有查询的查询帮助。

custom_queries_only（默认值）__：仅包含自定义查询（即查询包中并非 `codeql/<lang&rt;-queries` 形式的查询）的查询帮助。

never：不包含任何查询的查询帮助。

此选项在传递给 codeql bqrs interpret 时不起作用。

自 v2.15.2 起可用。

`--[no-]sarif-group-rules-by-pack`

[仅限 SARIF 格式] 将每个查询的规则对象置于 <run>.tool.extensions 属性中的相应 QL 包下。此选项在传递给 codeql bqrs interpret 时不起作用。

`--[no-]sarif-multicause-markdown`

[仅限 SARIF 格式] 对于有多种原因的警报，除作为纯字符串外，还应将它们作为 Markdown 格式的逐项列表包含在输出中。

`--no-sarif-minify`

[仅限 SARIF 格式] 生成整齐打印的 SARIF 输出。默认情况下，SARIF 输出会缩小，以减少输出文件的大小。

`--no-group-results`

[仅限 SARIF 格式] 每条消息生成一个结果，而不是每个唯一位置生成一个结果。

`--csv-location-format=<csvLocationFormat>`

在 CSV 输出中生成位置时采用的格式。即以下值之一：uri、line-column、offset-length。（默认值：line-column）

`--dot-location-url-format=<dotLocationUrlFormat>`

一个格式字符串，用于定义在 DOT 输出中生成文件位置 URL 时采用的格式。可使用以下占位符：{path} {start:line} {start:column} {end:line} {end:column}, {offset}, {length}

`--[no-]sublanguage-file-coverage`

[仅 GitHub.com 和 GitHub Enterprise Server v3.12.0+] 使用子语言文件覆盖信息。这会为共享 C 和 C++、Java 和 Kotlin，以及 JavaScript 和 TypeScript 等 CodeQL 提取程序包的语言计算、显示和导出单独的文件覆盖信息。

自 v2.15.2 起可用。

`--sarif-category=<category>`

[仅限 SARIF 格式] [建议] 指定要包含在 SARIF 输出中的此分析的类别。类别可用于区分在同一提交和存储库上（但在不同语言或代码的不同部分）执行的多次分析。

如果以几种不同的方式（例如，针对不同的语言）分析同一版本的代码库并将结果上传到 GitHub 以在代码扫描中展示，则该值在每次分析之间应该不同，这告知代码扫描分析是相互补充的而不是相互取代的。（对于不同版本的代码库，相同分析的运行之间的值应保持一致。）

此值将显示为 <run>.automationDetails.id 属性（如果尚不存在，则会在结尾追加斜线）。

`-j, --threads=<num>`

用于计算路径的线程数。

默认值为 1。可以传递 0 以在计算机上每个核心使用一个线程，也可以传递 -N 将 N 个核心保留为未使用状态（除仍至少使用一个线程外）。

`--no-database-extension-packs`

[高级] 在数据库创建（无论通过代码扫描配置文件还是通过分析代码库“扩展”目录中存储的扩展文件）期间忽略数据库中存储的扩展包。

`--[no-]print-diagnostics-summary`

将分析诊断的摘要输出到标准输出。

`--[no-]print-metrics-summary`

将分析指标的摘要输出到标准输出。

`--[no-]print-baseline-loc`

将计数的基线代码行输出到标准输出。

用于配置 CodeQL 包管理器的选项

`--registries-auth-stdin`

通过传递逗号分隔的 <registry_url>=<token> 对列表，向 GitHub Enterprise Server 容器注册表进行身份验证。

例如，可以传递 https://containers.GHEHOSTNAME1/v2/=TOKEN1,https://containers.GHEHOSTNAME2/v2/=TOKEN2 向两个 GitHub Enterprise Server 实例进行身份验证。

这会替代 CODEQL_REGISTRIES_AUTH and GITHUB_TOKEN 环境变量。如果只需向 github.com 容器注册表进行身份验证，则可以改用更简单的 --github-auth-stdin 选项进行身份验证。

`--github-auth-stdin`

通过标准输入传递 github.com GitHub 应用令牌或个人访问令牌，对 github.com 容器注册表进行身份验证。

若要向 GitHub Enterprise Server 容器注册表进行身份验证，请传递 --registries-auth-stdin 或使用 CODEQL_REGISTRIES_AUTH 环境变量。

这会替代 GITHUB_TOKEN 环境变量。

用于查找 QL 包的选项（可能需要此包才可解释查询套件）

`--search-path=<dir>[:<dir>...]`

可在其中找到 QL 包的目录列表。每个目录可以是一个 QL 包（或在根目录下包含一个 .codeqlmanifest.json 文件的多个包），也可以是一个或多个此类目录的直接父目录。

如果路径包含多个目录，则它们的顺序定义了它们之间的优先级：当必须解析的包名称在多个目录树中匹配时，给定的第一个目录树优先。

在查询其中一种语言时，将其指向开源 CodeQL 存储库的签出应该是可行的。

如果已将 CodeQL 存储库签出为未打包的 CodeQL 工具链的同级，则无需提供此选项；将始终在此类同级目录中搜索以其他方式找不到的 QL 包。（如果此默认值不起作用，强烈建议在每用户配置文件中一次性设置 --search-path）。

（注意：在 Windows 上，路径分隔符为 ;）。

`--additional-packs=<dir>[:<dir>...]`

如果给定了此目录列表，则先在这些目录中的搜索包，然后在 --search-path 中的目录搜索包。它们之间的顺序并不重要；如果在此列表的两个不同位置发现同一个包名称，这是一个错误。

如果你正临时开发一个同时出现在默认路径中的新版本的包，这将非常有用。另一方面，建议不要在配置文件中替代此选项；一些内部操作将动态添加此选项，覆盖任何配置的值。

（注意：在 Windows 上，路径分隔符为 ;）。

database interpret-results

谁可以使用此功能？

本文内容