Анализ качества кода на основе CodeQL

Информация о том, как работает анализ Code Quality на основе CodeQL, используемом рабочем процессе и проверках состояния, о которых сообщается в запросах на вытягивание.

В этой статье

Примечание.

GitHub Code Quality в настоящее время находится в public preview и может быть изменен. Во время public preview, Code Quality не будут оплачиваться, хотя Code Quality сканирование займет GitHub Actions минут.

CodeQL-powered analysis

Code Quality использует CodeQL для анализа на основе правил pull requests и вашей стандартной ветки.

  • Результаты для вашей стандартной ветки отображаются в панели управления «Стандартные выводы» во вкладке «Безопасность» вашего репозитория.

  • Результаты по pull requests отображаются в виде комментариев, сделанных github-code-quality[бот].

Автофикс второго пилота предлагаются предложения по результатам, где это возможно.

Списки запросов для поддерживаемых языков

Каждое правило Code Quality записывается как запрос в CodeQL и затем запускается с помощью GitHub Actions.

Правила постоянно совершенствуются как разработчиками GitHub, так и разработчиками с открытым исходным кодом.

  •         [AUTOTITLE](/code-security/code-quality/reference/codeql-queries/csharp-queries)

  •         [AUTOTITLE](/code-security/code-quality/reference/codeql-queries/go-queries)

  •         [AUTOTITLE](/code-security/code-quality/reference/codeql-queries/java-queries)

  •         [AUTOTITLE](/code-security/code-quality/reference/codeql-queries/javascript-queries)

  •         [AUTOTITLE](/code-security/code-quality/reference/codeql-queries/python-queries)

  •         [AUTOTITLE](/code-security/code-quality/reference/codeql-queries/ruby-queries)

Для получения дополнительной информации о проекте CodeQL см. https://codeql.github.com/.

Рабочий процесс, используемый для анализа качества кода

Вы можете просмотреть все запуски рабочего процесса для Code Quality на вкладке Действия для репозитория. Динамический рабочий процесс называется "Качество кода".

По умолчанию рабочий процесс Качество кода выполняется на стандартных GitHub раннерах, но вы можете настроить Code Quality для использования раннеров с определенной меткой. Они могут быть размещены в GitHub или размещены самостоятельно.

Если в организации настроено кэширование частных реестров, они будут доступны для анализа качества кода для разрешения зависимостей.

Дополнительные сведения можно найти здесь

  •         [AUTOTITLE](/code-security/code-quality/how-tos/enable-code-quality)

  •         [AUTOTITLE](/code-security/securing-your-organization/enabling-security-features-in-your-organization/giving-org-access-private-registries#code-quality-access-to-private-registries)

Проверка состояния запроса на вытягивание

Когда анализ качества кода выполняется в запросе на вытягивание, проверка "CodeQL - Качество кода / Analyze" отображается в разделе "Проверки" в нижней части запроса на вытягивание.

О любых проблемах с кодом, обнаруженных в ходе сканирования, сообщается в комментариях к запросу на вытягивание. Комментарий создается с помощью функции и github-code-quality[бот] включает предложение Автофикс второго пилота.

Сбои проверки состояния

Рабочий процесс не удалось запустить. Например, у вас исчерпан бюджет на минуты действий. Для диагностики сбоев см. раздел Просмотр журналов.

Слияние заблокировано: обнаружены результаты проверки качества кода

В ходе сканирования были обнаружены проблемы в коде, которые превышают шлюз качества, установленный правилом ветвления качества кода для репозитория. Необходимо устранить эти проблемы, прежде чем можно будет объединить запрос на вытягивание. См . раздел AUTOTITLE.