Visualizar os registros de varredura de código

Você pode visualizar a saída gerada durante a análise de code scanning em GitHub.

Quem pode usar esse recurso?

Usuários com acesso de leitura

Neste artigo

Sobre a sua configuração do code scanning

Você pode usar uma série de ferramentas para configurar code scanning no seu repositório. Para saber mais, confira Como definir a configuração padrão da verificação de código e Como definir a configuração avançada para verificação de código.

A informação de registro e diagnóstico disponível para você depende do método que você usa para code scanning no repositório. Você pode verificar o tipo da code scanning que você está usando na guia Segurança do repositório usando o menu suspenso Ferramenta na lista de alertas. Para saber mais, confira Avaliar alertas de varredura de código para seu repositório.

Sobre análise e informações de diagnóstico

Você pode visualizar as análises e informações de diagnóstico para code scanning executar usando as análises de CodeQL em GitHub.

As informações de análise são mostradas para a análise mais recente em um cabeçalho na parte superior da lista de alertas. Para saber mais, confira Avaliar alertas de varredura de código para seu repositório.

As informações de diagnóstico são exibidas nos logs de fluxo de trabalho da Ação e consistem em métricas de resumo e diagnóstico do extrator. Para mais informações sobre como acessar os logs da code scanning no GitHub, consulte Como ver a saída de log de code scanning abaixo.

Se você estiver utilizando o CodeQL CLI fora de GitHub, você verá informações de diagnóstico na saída gerada durante a análise do banco de dados. Estas informações também estão incluídas nos resultados do SARIF que você enviou para GitHub com os resultados de code scanning.

Para mais informações sobre a CodeQL CLI, consulte Como analisar o código com as consultas CodeQL.

Sobre métricas resumidas

As métricas resumidas incluem:

  • Linhas de código na base de dados (usadas como linha de base), antes da criação e extração do banco de dados de CodeQL
  • Linhas de código no banco de dados CodeQL extraído do código, incluindo bibliotecas externas e arquivos gerados automaticamente
  • Linhas de código no banco de dados de CodeQL excluindo arquivos gerados automaticamente e bibliotecas externas

Sobre diagnósticos de extração de código-fonte de CodeQL

Os diagnósticos do extrator só cobrem os arquivos vistos durante a análise. As métricas incluem:

  • Número de arquivos analisados com sucesso
  • Número de arquivos que geraram erros do extrator durante a criação do banco de dados
  • Número de arquivos que geraram avisos do extrator durante a criação do banco de dados

Você pode ver informações detalhadas sobre os erros e avisos do extrator do CodeQL que ocorreram durante a criação do banco de dados habilitando o registro em log de depuração. Para saber mais, confira Os logs não são detalhados o suficiente.

Visualizar a saída do registro de code scanning

Esta seção aplica-se à execução de code scanning usando GitHub Actions (CodeQL ou terceiros).

Depois de configurar code scanning para o seu repositório, você poderá inspecionar a saída das ações conforme forem executadas.

  1. No nome do repositório, clique em Actions.

    Captura de tela das guias do repositório "github/docs". A guia "Ações" está realçada com um contorno laranja.

    Você verá uma lista que inclui uma entrada para executar o fluxo de trabalho de code scanning. O texto da entrada é o título que você deu à sua mensagem de commit.

    Captura de tela da página "Todos os fluxos de trabalho". Na lista de execuções de fluxo de trabalho está uma execução rotulada "Criar .github/workflows/codeql.yml".

  2. Clique na entrada para o fluxo de trabalho de code scanning.

    Observação

    Se você estiver procurando a execução do fluxo de trabalho do CodeQL disparada com a habilitação da configuração padrão, o texto da entrada será "CodeQL".

  3. Clique no nome do trabalho à esquerda. Por exemplo, Analisar (LANGUAGE) .

    Captura de tela da saída do log para o trabalho "Analisar (ir)". Na barra lateral esquerda, sob o título "Trabalhos", "Analisar (go)" está listado.

  4. Revise a saída de log das ações deste fluxo de trabalho enquanto elas são executadas.

  5. Opcionalmente, para saber mais sobre o commit que acionou a execução de fluxo de trabalho, clique no hash de commit curto. Esse hash de commit curto tem sete caracteres minúsculos logo após o nome de usuário do autor do commit.

  6. Depois que todos os trabalhos forem concluídos, você poderá visualizar os as informações dos alertas de code scanning que foram identificados. Para saber mais, confira Avaliar alertas de varredura de código para seu repositório.

Como determinar se a configuração padrão da code scanning usou algum registro privado

Os fluxos de trabalho padrão de configuração da Code scanning incluem uma etapa Setup proxy for registries. Ao examinar uma execução de fluxo de trabalho para configuração padrão, você pode expandir esta etapa para exibir o log correspondente e procurar as seguintes mensagens:

  •           `Using registries_credentials input.` Pelo menos um registro privado está configurado para a organização. Isso inclui configurações para tipos de registro privados que não são compatíveis com a configuração padrão do code scanning. Para obter mais detalhes sobre tipos de registro com suporte, consulte [AUTOTITLE](/code-security/securing-your-organization/enabling-security-features-in-your-organization/giving-org-access-private-registries#code-scanning-default-setup-access-to-private-registries).

  • Credentials loaded for the following registries:

    • Se nenhuma lista de configurações for fornecida, então nenhuma configuração de registro privado compatível com a configuração padrão de code scanning foi encontrada.
    • Caso contrário, uma linha para cada configuração com suporte que foi carregada com êxito é mostrada. Por exemplo, uma linha que Type: nuget_feed; Host: undefined; Url: https://nuget.pkg.github.com/; Username: undefined; Password: true; Token: false contém indica que uma configuração privada do NuGet Feed foi carregada.
    • As informações sobre a configuração no log podem não corresponder exatamente ao que está configurado para a organização na interface do usuário. Por exemplo, o log pode indicar que um Password está definido, mesmo que um Token esteja configurado na interface do usuário.

Se a saída da etapa Setup proxy for registries for a esperada, mas a configuração padrão do code scanning não conseguir acessar as dependências nos registros privados, você pode conseguir informações adicionais para solucionar problemas. Confira Os logs não são detalhados o suficiente.

Para mais informações sobre como conceder a code scanning acesso padrão de configuração a registros privados, consulte Como dar aos recursos de segurança acesso a registros privados.