La bitácora y la información diagnóstica que tengas disponible dependerá del método que utilices para el code scanning en tu repositorio. Puede comprobar el tipo de code scanning que usa en la pestaña Security (Seguridad) del repositorio mediante el menú desplegable Tool (Herramienta) de la lista de alertas. Para acceder a esta página, consulte Evaluación de alertas de análisis de código para el repositorio.
Registros de GitHub
Puedes ver la información de análisis y diagnóstico para la jecución del code scanning utilizando el análisis de CodeQL en GitHub.
- La información de Analysis (Análisis) se muestra para los análisis más recientes en un encabezado en la parte superior de la lista de alertas. Consulta Evaluación de alertas de análisis de código para el repositorio.
- La información de diagnóstico se muestra en los registros de flujo de trabajo de GitHub Actions y consiste en diagnósticos del extractor y métricas resumidas. Para acceder a estos registros, consulte Visualización de registros de examen de código desde GitHub Actions.
Métricas de resumen
Las métricas de resumen incluyen:
- Las líneas de código en la base de código (que se utilizan como línea base), antes de la creación y extracción de la base de datos de CodeQL
- Las líneas de código en la base de datos de CodeQL que se extrajeron del código, incluyendo las bibliotecas externas y los archivos autogenerados
- Las líneas de código en la base de datos de CodeQL, excluyendo los archivos autogenerados y las bibliotecas externas
Diagnósticos de extracción de código fuente
El diagnóstico de extractor solo cubre los archivos que se vieron durante el análisis, las métricas incluyen:
- Cantidad de archivos que se analizaron con éxito
- Cantidad de archivos que generaron errores de extractor durante la creación de la base de datos
- Cantidad de archivos que generaron alertas del extractor durante la creación de la base de datos
Puedes ver información más detallada sobre los errores y advertencias del extractor de CodeQL que se produjeron durante la creación de la base de datos habilitando el registro de depuración. Consulta Los registros no son lo suficientemente detallados.
Información de diagnóstico para registros de paquetes privados
Los flujos de trabajo de la configuración predeterminada de Code scanning incluyen un paso Setup proxy for registries. Al examinar una ejecución de flujo de trabajo para la configuración predeterminada, puede expandir este paso para ver el registro correspondiente. Contiene información sobre qué configuraciones del Registro de paquetes privados estaban disponibles para el análisis. Además, el registro contiene información de diagnóstico que puede ayudar a solucionar problemas si la configuración predeterminada de code scanning no utiliza con éxito los registros de paquetes privados. Busque los mensajes siguientes:
-
`Using registries_credentials input.` Se ha configurado al menos un registro privado para la organización. Esto incluye configuraciones para tipos de registro privados que no son compatibles con la configuración predeterminada de code scanning. Para obtener más información sobre los tipos de registro admitidos, consulte [AUTOTITLE](/code-security/securing-your-organization/enabling-security-features-in-your-organization/giving-org-access-private-registries#code-scanning-default-setup-access-to-private-registries). -
Credentials loaded for the following registries:- Si no se muestra una lista de configuraciones, significa que no se encontraron configuraciones de registro privadas compatibles con la configuración predeterminada de code scanning.
- De lo contrario, se muestra una línea para cada configuración admitida que se cargó correctamente. Por ejemplo, una línea que contiene
Type: nuget_feed; Host: undefined; Url: https://nuget.pkg.github.com/; Username: undefined; Password: true; Token: falseindica que se cargó una configuración privada de NuGet Feed. - Es posible que la información sobre la configuración del registro no coincida exactamente con lo que está configurado para la organización en la interfaz de usuario. Por ejemplo, el registro puede indicar que se ha establecido un
Password, aunque unTokenesté configurado en la interfaz de usuario.
-
`Proxy started on 127.0.0.1:49152` El proxy de autenticación que code scanning usa en su configuración predeterminada para autenticarse en los registros de paquetes privados configurados se inició correctamente. -
Después de esto, puede haber mensajes sobre los resultados de las pruebas de conexión que intentan llegar a los registros de paquetes privados configurados a través del proxy de autenticación. Este es un proceso basado en el mejor esfuerzo posible. Si estas comprobaciones no son correctas para algunos registros, no significa necesariamente que las configuraciones pertinentes no funcionen. Sin embargo, si encuentra que la configuración predeterminada del code scanning no puede acceder correctamente a las dependencias de los registros privados durante el análisis, esto puede proporcionar cierta información para ayudar a solucionar el problema.
Si la salida del paso Setup proxy for registries es la esperada, pero la configuración predeterminada de code scanning no puede acceder correctamente a las dependencias en los registros privados, puede obtener información adicional para resolver problemas. Consulta Los registros no son lo suficientemente detallados.
Para obtener más información sobre cómo proporcionar a la configuración predeterminada de code scanning acceso a registros privados, consulte Conceder acceso a las características de seguridad a registros privados.
Registros de CodeQL CLI
Si estás utilizando el CodeQL CLI fuera de GitHub, verás la información de diagnóstico en la salida que se generó durante el análisis de la base de datos. Esta información también se incluye en el archivo de resultados SARIF.
Registros en VS Code
Los mensajes de progreso y error se muestran como notificaciones en la esquina inferior derecha del área de trabajo de Visual Studio Code. Estos están vinculados a registros y mensajes de error más detallados en la ventana “Resultados”.
Puede acceder a registros independientes para la extensión CodeQL, el servidor de lenguaje, el servidor de consultas o las pruebas. El registro del servidor de lenguajes contiene registros de depuración avanzada para los mantenedores de lenguaje de CodeQL. Solo debería necesitarlos para proporcionar detalles en un informe de errores.
Para acceder a estos registros, consulte Acceso a registros para CodeQL en Visual Studio Code.