Journaux d’analyse du code

Les informations de journal et de diagnostic disponibles dépendent de la méthode que vous utilisez pour code scanning dans votre référentiel. Vous pouvez vérifier le type d’code scanning que vous utilisez sous l’onglet Sécurité de votre dépôt, en utilisant le menu déroulant Outil dans la liste des alertes. Pour accéder à cette page, consultez Évaluation des alertes d’analyse du code pour votre référentiel.

Journaux sur GitHub

Vous pouvez voir les informations d’analyse et de diagnostic pour l’code scanning exécutée avec l’analyse CodeQL sur GitHub.

• Les informations d’analyse sont affichées pour l’analyse la plus récente dans un en-tête en haut de la liste des alertes. Consultez « Évaluation des alertes d’analyse du code pour votre référentiel ».
• Les informations de diagnostic sont affichées dans les journaux des workflows GitHub Actions et se composent de métriques récapitulatives et de diagnostics d’extracteur. Pour accéder à ces journaux de bord, consultez Affichage des journaux d’analyse du code depuis GitHub Actions.

Métriques récapitulatives

Diagnostics d’extraction de code source

Vous pouvez voir des informations plus détaillées sur les erreurs et avertissements de l’extracteur CodeQL qui apparaissent lors de la création de la base de données en activant la journalisation du débogage. Consultez « Journaux insuffisamment détaillés ».

Informations de diagnostic pour les registres de paquets privés

Les flux de travail de configuration par défaut Code scanning incluent une étape Setup proxy for registries. Lorsque vous examinez une exécution de flux de travail pour la configuration par défaut, vous pouvez développer cette étape pour afficher le journal correspondant. Cela contient des informations sur les configurations de Registre de packages privés disponibles pour l’analyse. En outre, le journal contient des informations de diagnostic qui peuvent vous aider à résoudre les problèmes si les registres de packages privés ne sont pas correctement utilisés par code scanning configuration par défaut. Recherchez les messages suivants :

•         `Using registries_credentials input.` Au moins un dépôt privé est configuré pour l’organisation. Cela inclut les configurations pour les types de registre privé qui ne sont pas pris en charge par la configuration par défaut code scanning. Pour plus d’informations sur les types de Registre pris en charge, consultez [AUTOTITLE](/code-security/securing-your-organization/enabling-security-features-in-your-organization/giving-org-access-private-registries#code-scanning-default-setup-access-to-private-registries).
  

• Credentials loaded for the following registries:

  • Si aucune liste de configurations ne suit, alors aucune configuration de registre privé prise en charge par la configuration par défaut de code scanning n'a été trouvée.
  • Sinon, une ligne pour chaque configuration prise en charge qui a été correctement chargée s’affiche. Par exemple, une ligne contenant Type: nuget_feed; Host: undefined; Url: https://nuget.pkg.github.com/; Username: undefined; Password: true; Token: false indique qu’une configuration de flux NuGet privée a été chargée.
  • Les informations sur la configuration dans le journal peuvent ne pas correspondre exactement à ce qui est configuré pour l’organisation dans l’interface utilisateur. Par exemple, le journal peut indiquer qu’un Password est défini, même si un Token est configuré dans l’interface utilisateur.

•         `Proxy started on 127.0.0.1:49152` Le proxy d’authentification utilisé par code scanning configuration par défaut pour s’authentifier auprès des registres de packages privés configurés a été démarré avec succès.
  

• Après cela, il peut y avoir des messages sur les résultats des tests de connexion qui tentent d’atteindre les registres de packages privés configurés via le proxy d’authentification. Il s'agit d'un processus basé sur les meilleurs efforts. Si ces vérifications ne réussissent pas pour certains registres, cela ne signifie pas nécessairement que les configurations pertinentes ne fonctionnent pas. Toutefois, si vous constatez que code scanning la configuration par défaut ne peut pas accéder correctement aux dépendances dans les registres privés pendant l’analyse, cela peut fournir des informations pour vous aider à résoudre le problème.

Si la sortie de l’étape Setup proxy for registries est comme prévu, mais que la configuration par défaut de code scanning ne parvient pas à accéder aux dépendances des registres privés, vous pouvez obtenir des informations de dépannage supplémentaires. Consultez « Journaux insuffisamment détaillés ».

Pour plus d’informations sur la façon de donner à code scanning un accès par défaut aux registres privés, consultez Accès des fonctionnalités de sécurité aux registres privés.

Journaux pour le CodeQL CLI

Si vous utilisez l’CodeQL CLI en dehors de GitHub, les informations de diagnostic s’affichent dans la sortie générée lors de l’analyse de la base de données. Ces informations sont également incluses dans le fichier de résultats SARIF.

Journaux dans VS Code

La progression et les messages d’erreur s’affichent sous forme de notifications dans le coin inférieur droit de l’espace de travail Visual Studio Code. Ces notifications renvoient vers des journaux d’activité et des messages d’erreur plus détaillés, dans la fenêtre « Output ».

Vous pouvez accéder à des journaux distincts pour l'extension CodeQL, le serveur de langage, le serveur de requêtes ou les tests. Le journal du serveur de langage contient des journaux de débogage avancés destinés aux mainteneurs du language CodeQL. Vous ne devriez en avoir besoin que pour fournir des détails dans un rapport de bogue.

Pour accéder à ces journaux, consultez Accès aux journaux d’activité pour CodeQL dans Visual Studio Code.