Анализ качества кода на основе CodeQL

Информация о том, как работает анализ Code Quality на базе CodeQL, используемый рабочий процесс и о статусах, отражаемых в pull requests.

В этой статье

Примечание.

GitHub Code Quality в настоящее время находится в public preview и может быть изменен. Во время public preview, Code Quality не будут оплачиваться, хотя Code Quality сканирование займет GitHub Actions минут.

          CodeQL-Анализ на мощности

          Code Quality используется CodeQL для анализа пулл-запросов и вашей ветки по умолчанию на основе правил.

  • Результаты для вашей стандартной ветки отображаются в панели управления "Стандартные выводы" во вкладке вашего репозитория Security and quality .

  • Результаты по pull requests отображаются в виде комментариев, сделанных github-code-quality[бот].

            Автофикс второго пилота По возможности предоставляются предложения по выводам.

Списки запросов для поддерживаемых языков

Каждое Code Quality правило записывается как запрос в CodeQL , а затем выполняется с помощью GitHub Actions.

Правила постоянно совершенствуются как GitHub разработчиками, так и разработчиками с открытым исходным кодом.

  •         [AUTOTITLE](/code-security/code-quality/reference/codeql-queries/csharp-queries)

  •         [AUTOTITLE](/code-security/code-quality/reference/codeql-queries/go-queries)

  •         [AUTOTITLE](/code-security/code-quality/reference/codeql-queries/java-queries)

  •         [AUTOTITLE](/code-security/code-quality/reference/codeql-queries/javascript-queries)

  •         [AUTOTITLE](/code-security/code-quality/reference/codeql-queries/python-queries)

  •         [AUTOTITLE](/code-security/code-quality/reference/codeql-queries/ruby-queries)

Для получения дополнительной информации о CodeQL проекте см. https://codeql.github.com/.

Рабочий процесс, используемый для анализа качества кода

Вы можете посмотреть все запуски Code Quality рабочих процессов на вкладке «Действия » вашего репозитория. Динамический рабочий процесс называется «Качество кода».

По умолчанию Качество кода рабочий процесс работает на стандартных GitHub раннерах, но можно настроить Code Quality их с определённой меткой. Они могут быть размещены GitHub или размещены самостоятельно.

Если в организации настроено кэширование частных реестров, они будут доступны для анализа качества кода для разрешения зависимостей.

Дополнительные сведения можно найти здесь

  •         [AUTOTITLE](/code-security/code-quality/how-tos/enable-code-quality)

  •         [AUTOTITLE](/code-security/securing-your-organization/enabling-security-features-in-your-organization/giving-org-access-private-registries#code-quality-access-to-private-registries)

Проверка состояния запроса на вытягивание

Когда анализ качества кода выполняется на pull request, проверка «CodeQL - Качество кода / Analyze» отображается в разделе «Checks» внизу pull request.

О любых проблемах с кодом, обнаруженных в ходе сканирования, сообщается в комментариях к запросу на вытягивание. Комментарий сделан и github-code-quality[бот] содержит Автофикс второго пилота предложение.

Сбои проверки состояния

Рабочий процесс не удалось запустить. Например, у вас исчерпан бюджет на минуты действий. Для диагностики сбоев см. раздел Просмотр журналов.

Слияние заблокировано: обнаружены результаты проверки качества кода

В ходе сканирования были обнаружены проблемы в коде, которые превышают шлюз качества, установленный правилом ветвления качества кода для репозитория. Необходимо устранить эти проблемы, прежде чем можно будет объединить запрос на вытягивание. См . раздел AUTOTITLE.