Logs de análise de código

Você pode visualizar a saída gerada durante a análise de code scanning em GitHub.

Neste artigo

A informação de registro e diagnóstico disponível para você depende do método que você usa para code scanning no repositório. Você pode verificar o tipo da code scanning que você está usando na guia Segurança do repositório usando o menu suspenso Ferramenta na lista de alertas. Para acessar esta página, consulte Avaliar alertas de varredura de código para seu repositório.

Faça logon no GitHub

Você pode visualizar as análises e informações de diagnóstico para code scanning executar usando as análises de CodeQL em GitHub.

Métricas de resumo

As métricas resumidas incluem:

  • Linhas de código na base de dados (usadas como linha de base), antes da criação e extração do banco de dados de CodeQL
  • Linhas de código no banco de dados CodeQL extraído do código, incluindo bibliotecas externas e arquivos gerados automaticamente
  • Linhas de código no banco de dados de CodeQL excluindo arquivos gerados automaticamente e bibliotecas externas

Diagnóstico de extração de código-fonte

Os diagnósticos do extrator só cobrem os arquivos vistos durante a análise. As métricas incluem:

  • Número de arquivos analisados com sucesso
  • Número de arquivos que geraram erros do extrator durante a criação do banco de dados
  • Número de arquivos que geraram avisos do extrator durante a criação do banco de dados

Você pode ver informações detalhadas sobre os erros e avisos do extrator do CodeQL que ocorreram durante a criação do banco de dados habilitando o registro em log de depuração. Confira Os logs não são detalhados o suficiente.

Informações de diagnóstico para repositórios privados de pacotes

Code scanning os fluxos de trabalho padrão de configuração incluem uma etapa Setup proxy for registries. Ao examinar uma execução de fluxo de trabalho para a configuração padrão, você pode expandir esta etapa para exibir o log correspondente. Isso contém informações sobre quais configurações de registro de pacote privado estavam disponíveis para a análise. Além disso, o log contém algumas informações de diagnóstico que podem ajudar na solução de problemas se os registros de pacote privado não forem usados com êxito pela configuração padrão do code scanning. Procure as seguintes mensagens:

  •         `Using registries_credentials input.` Pelo menos um registro privado está configurado para a organização. Isso inclui configurações para tipos de registro privados que não são compatíveis com a configuração padrão do code scanning. Para obter mais detalhes sobre tipos de registro com suporte, consulte [AUTOTITLE](/code-security/securing-your-organization/enabling-security-features-in-your-organization/giving-org-access-private-registries#code-scanning-default-setup-access-to-private-registries).

  • Credentials loaded for the following registries:

    • Se nenhuma lista de configurações for fornecida, então nenhuma configuração de registro privado compatível com a configuração padrão de code scanning foi encontrada.
    • Caso contrário, uma linha para cada configuração com suporte que foi carregada com êxito é mostrada. Por exemplo, uma linha que Type: nuget_feed; Host: undefined; Url: https://nuget.pkg.github.com/; Username: undefined; Password: true; Token: false contém indica que uma configuração privada do NuGet Feed foi carregada.
    • As informações sobre a configuração no log podem não corresponder exatamente ao que está configurado para a organização na interface do usuário. Por exemplo, o log pode indicar que um Password está definido, mesmo que um Token esteja configurado na interface do usuário.
  •         `Proxy started on 127.0.0.1:49152` O proxy de autenticação usado pela configuração padrão do code scanning para autenticar nos registros de pacotes privados configurados foi iniciado com êxito.

  • Depois disso, pode haver mensagens sobre os resultados dos testes de conexão que tentam alcançar os registros de pacotes privados configurados por meio do proxy de autenticação. Este é um processo de melhor esforço. Se essas verificações não forem bem-sucedidas para alguns registros, isso não significa necessariamente que as configurações relevantes não estão funcionando. No entanto, se você descobrir que a configuração padrão do code scanning não consegue acessar com sucesso as dependências nos registros privados durante a análise, isso pode fornecer informações úteis para ajudar a solucionar o problema.

Se a saída da etapa Setup proxy for registries for a esperada, mas a configuração padrão do code scanning não conseguir acessar as dependências nos registros privados, você pode obter informações adicionais para solucionar problemas. Confira Os logs não são detalhados o suficiente.

Para obter mais informações sobre como conceder code scanning acesso padrão de configuração a registros privados, consulte Como dar aos recursos de segurança acesso a registros privados.

Logs para o CodeQL CLI

Se você estiver utilizando o CodeQL CLI fora de GitHub, você verá informações de diagnóstico na saída gerada durante a análise do banco de dados. Essas informações também estão incluídas no arquivo de resultados SARIF.

Logs no VS Code

As mensagens de erro e de progresso são exibidas como notificações no canto inferior direito do espaço de trabalho do Visual Studio Code. Elas estão vinculadas a mais logs detalhados e mensagens de erro na janela "Saída".

Você pode acessar logs separados para a extensão do CodeQL, servidor de linguagem, servidor de consulta ou testes. O log do Servidor de Linguagem contém logs de depuração mais avançados para mantenedores de linguagem do CodeQL. Você só deve precisar deles para fornecer detalhes em um relatório de bugs.

Para acessar esses logs, consulte Acessando logs para CodeQL em Visual Studio Code.