此内容描述了 CodeQL CLI 的最新版本。 有关此版本的详细信息,请参阅 https://github.com/github/codeql-cli-binaries/releases 。
若要查看早期版本中此命令可用选项的详细信息,请在终端中使用 --help
选项运行命令。
摘要
codeql database interpret-results --format=<format> --output=<output> [--threads=<num>] <options>... -- <database> <file|dir|suite>...
codeql database interpret-results --format=<format> --output=<output> [--threads=<num>] <options>... -- <database> <file|dir|suite>...
说明
[Plumbing] 将计算的查询结果解释为有意义的格式,例如 SARIF 或 CSV。
结果应已使用 codeql database run-queries 计算并存储在 CodeQL 数据库目录中。 (通常需要使用 codeql database analyze 一起执行这些步骤)。
选项
主要选项
<database>
[必需] 已查询的 CodeQL 数据库的路径。
<filesuite>...
在此处重复指定执行了哪些查询。
如果省略,CLI 将使用与 codeql database run-queries 相同的逻辑来确定一组合适的查询。
(在将来的版本中,应该可以省略此内容,改为解释在数据库中找到的所有结果。 目前还无法享受此便利。 很抱歉。)
--format=<format>
[必需] 写入结果时采用的格式。 下列其中一项:
csv
:逗号分隔的带格式的值,包括具有规则和警报元数据的列。
sarif-latest
:静态分析结果交换格式 (SARIF),这是一种基于 JSON 的格式,用于描述静态分析结果。 此格式选项使用最新的受支持版本 (v2.1.0)。 此选项不适合用于自动化,因为它在不同 CodeQL 版本之间生成不同版本的 SARIF。
sarifv2.1.0
:SARIF v2.1.0。
graphtext
:表示图形的文本格式。 仅与具有 @kind 图形的查询兼容。
dgml
:有向图形标记语言,一种基于 XML 的格式,用于描述图形。 仅与具有 @kind 图形的查询兼容。
dot
:Graphviz DOT 语言,一种基于文本的格式,用于描述图形。
仅与具有 @kind 图形的查询兼容。
-o, --output=<output>
[必需] 要向其写入结果的输出路径。 对于图形格式,这应该是一个目录,结果(如果此命令支持解释多个查询,则为多个结果)将写入该目录中。
--max-paths=<maxPaths>
要为每个具有路径的警报生成的最大路径数。 (默认值:4)
--[no-]sarif-add-file-contents
[仅限 SARIF 格式] 包括至少一个结果中引用的所有文件的完整文件内容。
--[no-]sarif-add-snippets
[仅限 SARIF 格式] 包括结果中提到的每个位置的代码片段,在报告的位置前后包含两行上下文。
--[no-]sarif-add-query-help
[仅限 SARIF 格式] [已弃用] 包含所有查询的 Markdown 查询帮助。 它从 /path/to/query.md 文件加载 /path/to/query.ql 的查询帮助。 如果未提供此标志,则默认行为仅包含自定义查询(即查询包中并非 `codeql/<lang&rt;-queries` 形式的查询)的帮助。 此选项在传递给 codeql bqrs interpret 时不起作用。
--sarif-include-query-help=<mode>
[仅限 SARIF 格式] 指定是否在 SARIF 输出中包含查询帮助。 下列其中一项:
always
:包含所有查询的查询帮助。
custom_queries_only
(默认值)__:仅包含自定义查询(即查询包中并非 `codeql/<lang&rt;-queries` 形式的查询)的查询帮助。
never
:不包含任何查询的查询帮助。
此选项在传递给 codeql bqrs interpret 时不起作用。
自 v2.15.2
起可用。
--no-sarif-include-alert-provenance
[高级] [仅限 SARIF 格式] 不要在 SARIF 输出中包含警报来源信息。
自 v2.18.1
起可用。
--[no-]sarif-group-rules-by-pack
[仅限 SARIF 格式] 将每个查询的规则对象置于 <run>.tool.extensions
属性中的相应 QL 包下。 此选项在传递给 codeql bqrs interpret 时不起作用。
--[no-]sarif-multicause-markdown
[仅限 SARIF 格式] 对于有多种原因的警报,除作为纯字符串外,还应将它们作为 Markdown 格式的逐项列表包含在输出中。
--no-sarif-minify
[仅限 SARIF 格式] 生成整齐打印的 SARIF 输出。 默认情况下,SARIF 输出会缩小,以减少输出文件的大小。
--sarif-run-property=<String=String>
[仅限 SARIF 格式] 要添加到生成的 SARIF“run”属性包的键值对。 可以重复。
--no-group-results
[仅限 SARIF 格式] 每条消息生成一个结果,而不是每个唯一位置生成一个结果。
--csv-location-format=<csvLocationFormat>
在 CSV 输出中生成位置时采用的格式。 即以下值之一:uri、line-column、offset-length。 (默认值:line-column)
--dot-location-url-format=<dotLocationUrlFormat>
一个格式字符串,用于定义在 DOT 输出中生成文件位置 URL 时采用的格式。 可使用以下占位符:{path} {start:line} {start:column} {end:line} {end:column}, {offset}, {length}
--[no-]sublanguage-file-coverage
[仅 GitHub.com 和 GitHub Enterprise Server v3.12.0+] 使用子语言文件覆盖信息。 这会为共享 C 和 C++、Java 和 Kotlin,以及 JavaScript 和 TypeScript 等 CodeQL 提取程序包的语言计算、显示和导出单独的文件覆盖信息。
自 v2.15.2
起可用。
--sarif-category=<category>
[仅限 SARIF 格式] [建议] 指定要包含在 SARIF 输出中的此分析的类别。 类别可用于区分在同一提交和存储库上(但在不同语言或代码的不同部分)执行的多次分析。
如果以几种不同的方式(例如,针对不同的语言)分析同一版本的代码库并将结果上传到 GitHub 以在代码扫描中展示,则该值在每次分析之间应该不同,这告知代码扫描分析是相互补充的而不是相互取代的 。 (对于不同版本的代码库,相同分析的运行之间的值应保持一致。)
此值将显示为 <run>.automationDetails.id
属性(如果尚不存在,则会在结尾追加斜线)。
-j, --threads=<num>
用于计算路径的线程数。
默认值为 1。 可以传递 0 以在计算机上每个核心使用一个线程,也可以传递 -N 将 N 个核心保留为未使用状态(除仍至少使用一个线程外) 。
--no-database-extension-packs
[高级] 在数据库创建(无论通过代码扫描配置文件还是通过分析代码库“扩展”目录中存储的扩展文件)期间忽略数据库中存储的扩展包。
--[no-]print-diagnostics-summary
将分析诊断的摘要输出到标准输出。
--[no-]print-metrics-summary
将分析指标的摘要输出到标准输出。
--[no-]print-baseline-loc
将计数的基线代码行输出到标准输出。
用于配置 CodeQL 包管理器的选项
--registries-auth-stdin
通过传递逗号分隔的 <registry_url>=<token> 对列表,向 GitHub Enterprise Server 容器注册表进行身份验证。
例如,可以传递 https://containers.GHEHOSTNAME1/v2/=TOKEN1,https://containers.GHEHOSTNAME2/v2/=TOKEN2
向两个 GitHub Enterprise Server 实例进行身份验证。
这会替代 CODEQL_REGISTRIES_AUTH and GITHUB_TOKEN 环境变量。 如果只需向 github.com 容器注册表进行身份验证,则可以改用更简单的 --github-auth-stdin
选项进行身份验证。
--github-auth-stdin
通过标准输入传递 github.com GitHub 应用令牌或个人访问令牌,对 github.com 容器注册表进行身份验证。
若要向 GitHub Enterprise Server 容器注册表进行身份验证,请传递 --registries-auth-stdin
或使用 CODEQL_REGISTRIES_AUTH 环境变量。
这会替代 GITHUB_TOKEN 环境变量。
用于指定解释结果时要使用的扩展的选项
--model-packs=<
name@range>...
将用作模型包来自定义要评估的查询的 CodeQL 包名称列表(每个包都有一个可选的版本范围)。
查找 QL 包的选项(这可能是解释查询套件所必需的)
--search-path=<dir>[:<dir>...]
可在其中找到 QL 包的目录列表。 每个目录可以是一个 QL 包(或在根目录下包含一个 .codeqlmanifest.json
文件的多个包),也可以是一个或多个此类目录的直接父目录。
如果路径包含多个目录,则它们的顺序定义了它们之间的优先级:当必须解析的包名称在多个目录树中匹配时,给定的第一个目录树优先。
在查询其中一种语言时,将其指向开源 CodeQL 存储库的签出应该是可行的。
如果已将 CodeQL 存储库签出为未打包的 CodeQL 工具链的同级,则无需提供此选项;将始终在此类同级目录中搜索以其他方式找不到的 QL 包。 (如果此默认值不起作用,强烈建议在每用户配置文件中一次性设置 --search-path
)。
(注意:在 Windows 上,路径分隔符为 ;
)。
--additional-packs=<dir>[:<dir>...]
如果给定了此目录列表,则先在这些目录中的搜索包,然后在 --search-path
中的目录搜索包。 它们之间的顺序并不重要;如果在此列表的两个不同位置发现同一个包名称,这是一个错误。
如果你正临时开发一个同时出现在默认路径中的新版本的包,这将非常有用。 另一方面,建议不要在配置文件中替代此选项;一些内部操作将动态添加此选项,覆盖任何配置的值。
(注意:在 Windows 上,路径分隔符为 ;
)。
常用选项
-h, --help
显示此帮助文本。
-J=<opt>
[高级] 为运行命令的 JVM 提供选项。
(请注意,无法正确处理包含空格的选项。)
-v, --verbose
以增量方式增加输出的进度消息数。
-q, --quiet
以增量方式减少输出的进度消息数。
--verbosity=<level>
[高级] 将详细级别显式设置为“错误”、“警告”、“进度”、“进度+”、“进度++”、“进度+++”之一。 重写 -v
和 -q
。
--logdir=<dir>
[高级] 将详细日志写入给定目录中的一个或多个文件,其中生成的名称包括时间戳和正在运行的子命令的名称。
(若要使用可以完全控制的名称编写日志文件,请根据需要提供 --log-to-stderr
并重定向 stderr。)
--common-caches=<dir>
[高级] 控制磁盘上缓存数据的位置,此位置会在多次运行 CLI(例如下载的 QL 包和已编译查询计划)期间暂留。 如果未明确设置,则默认为用户主目录中名为 .codeql
的目录;如果尚不存在,则会创建该目录。
自 v2.15.2
起可用。