数据库解释结果

此内容描述了 CodeQL CLI 的最新版本。有关此版本的更多信息，请参阅 https://github.com/github/codeql-cli-binaries/releases。

要在较早版本中查看此命令可用选项的详细信息，请在终端中使用 --help 选项运行该命令。

摘要

Shell

codeql database interpret-results --format=<format> --output=<output> [--threads=<num>] <options>... -- <database> <file|dir|suite>...

codeql database interpret-results --format=<format> --output=<output> [--threads=<num>] <options>... -- <database> <file|dir|suite>...

描述

[底层实现] 将计算出的查询结果解释为有意义的格式，例如 SARIF 或 CSV。

结果应已使用 codeql database run-queries 计算并在 CodeQL 数据库目录中存储。(通常，您希望将这些步骤一起执行，方法是使用 codeql database analyze）。

选项

主要选项

`<filesuite>...`

在此处重复指定执行了哪些查询。

如果省略，CLI 将使用与 codeql database run-queries 相同的逻辑确定合适的查询集。

（在未来的版本中，应该可以省略此项，而是解释数据库中找到的所有结果。那个美好的未来尚未到来。抱歉。）

`--format=<format>`

[必填] 要以其写入结果的格式。以下之一：

csv：格式化的逗号分隔值，包括包含规则和警报元数据的列。

sarif-latest：静态分析结果交换格式 (SARIF)，一种基于 JSON 的格式，用于描述静态分析结果。此格式选项使用最新支持的版本 (v2.1.0)。此选项不适用于自动化，因为它会在不同 CodeQL 版本之间生成不同版本的 SARIF。

sarifv2.1.0：SARIF v2.1.0。

graphtext：表示图形的文本格式。仅与具有 @kind graph 的查询兼容。

dgml：有向图标记语言，一种基于 XML 的格式，用于描述图形。仅与具有 @kind graph 的查询兼容。

dot：Graphviz DOT 语言，一种基于文本的格式，用于描述图形。仅与具有 @kind graph 的查询兼容。

`-o, --output=<output>`

[必填] 要写入结果的输出路径。对于图形格式，这应为一个目录，结果（如果此命令支持解释多个查询，则为结果）将写入该目录中。

`--[no-]sarif-add-file-contents`

[仅限 SARIF 格式] 包含至少一个结果中引用的所有文件的完整文件内容。

`--[no-]sarif-add-snippets`

[仅限 SARIF 格式] 包含结果中提到的每个位置的代码片段，并在报告的位置前后各有两行上下文。

[SARIF 格式] [已弃用] 为所有查询包含 Markdown 查询帮助。它从 /path/to/query.md 文件加载 /path/to/query.ql 查询的帮助信息。如果未提供此标志，则默认行为是仅包含自定义查询的帮助信息，即查询包中不属于 `codeql/<lang&rt;-queries` 格式的查询。将此选项传递给 codeql bqrs interpret 时，此选项无效。

`--sarif-include-query-help=<mode>`

[SARIF 格式] 指定是否在 SARIF 输出中包含查询帮助。可选值：

always：为所有查询包含查询帮助。

custom_queries_only （默认）：仅包含自定义查询的帮助信息，即查询包中不属于 `codeql/<lang&rt;-queries` 格式的查询。

never：不为任何查询包含查询帮助。

将此选项传递给 codeql bqrs interpret 时，此选项无效。

自 v2.15.2 版本起可用。

`--no-sarif-include-alert-provenance`

[高级] [SARIF 格式] 不在 SARIF 输出中包含警报来源信息。

自 v2.18.1 版本起可用。

`--[no-]sarif-group-rules-by-pack`

[SARIF 格式] 将每个查询的规则对象放在其对应的 QL 包的 <run>.tool.extensions 属性下。将此选项传递给 codeql bqrs interpret 时，此选项无效。

`--[no-]sarif-multicause-markdown`

[SARIF 格式] 对于具有多个原因的警报，除了作为普通字符串之外，还将其作为 Markdown 格式的项目符号列表包含在输出中。

`--no-sarif-minify`

[SARIF 格式] 生成格式良好的 SARIF 输出。默认情况下，SARIF 输出会被压缩以减小输出文件的大小。

`--sarif-run-property=<String=String>`

[SARIF 格式] 要添加到生成的 SARIF 'run' 属性包中的键值对。可以重复使用。

`--no-group-results`

[SARIF 格式] 为每个消息生成一个结果，而不是为每个唯一位置生成一个结果。

`--csv-location-format=<csvLocationFormat>`

在 CSV 输出中生成位置的格式。可选值：uri、line-column、offset-length。（默认值：line-column）

`--dot-location-url-format=<dotLocationUrlFormat>`

定义在 DOT 输出中生成文件位置 URL 的格式的格式字符串。可以使用以下占位符：{path} {start:line} {start:column} {end:line} {end:column}、{offset}、{length}。

`--[no-]sublanguage-file-coverage`

[仅限 GitHub.com 和 GitHub Enterprise Server v3.12.0 及更高版本] 使用子语言文件覆盖率信息。这会计算、显示和导出共享 CodeQL 提取器的语言（如 C 和 C++、Java 和 Kotlin 以及 JavaScript 和 TypeScript）的单独文件覆盖率信息。

自 v2.15.2 版本起可用。

`--sarif-category=<category>`

[SARIF 格式] [推荐] 指定要包含在 SARIF 输出中的此分析的类别。类别可用于区分对同一提交和存储库但在不同语言或代码的不同部分执行的多个分析。

如果您以多种不同方式分析代码库的同一版本（例如，针对不同的语言）并将结果上传到 GitHub 以在代码扫描中显示，则每次分析之间的此值应有所不同，这会告诉代码扫描这些分析是补充而不是替换彼此。（对于代码库的不同版本，相同分析的运行之间的值应保持一致。）

此值将显示为 <run>.automationDetails.id 属性（如果尚未存在，则附加尾部斜杠）。

`-j, --threads=<num>`

用于计算路径的线程数。

默认值为 1。您可以传递 0 以在机器上使用每个内核一个线程，或 -N 以保留 N 个内核未使用（但仍至少使用一个线程）。

`--no-database-extension-packs`

[高级] 在数据库创建期间省略存储在数据库中的扩展包，这些包可以来自 Code Scanning 配置文件或存储在被分析代码库的“extensions”目录中的扩展文件。

`--[no-]print-diagnostics-summary`

将分析诊断的摘要打印到标准输出。

`--[no-]print-metrics-summary`

将分析指标的摘要打印到标准输出。

`--[no-]print-baseline-loc`

将计算出的基线代码行数打印到标准输出。

配置 CodeQL 包管理器选项

`--registries-auth-stdin`

通过传递以逗号分隔的 <registry_url>=<token> 对列表来对 GitHub Enterprise Server 容器注册表进行身份验证。

例如，您可以传递 https://containers.GHEHOSTNAME1/v2/=TOKEN1,https://containers.GHEHOSTNAME2/v2/=TOKEN2 来对两个 GitHub Enterprise Server 实例进行身份验证。

这会覆盖 CODEQL_REGISTRIES_AUTH 和 GITHUB_TOKEN 环境变量。如果您只需要对 github.com 容器注册表进行身份验证，则可以使用更简单的 --github-auth-stdin 选项进行身份验证。

`--github-auth-stdin`

通过标准输入传递 github.com GitHub Apps 令牌或个人访问令牌来对 github.com 容器注册表进行身份验证。

要对 GitHub Enterprise Server 容器注册表进行身份验证，请传递 --registries-auth-stdin 或使用 CODEQL_REGISTRIES_AUTH 环境变量。

这会覆盖 GITHUB_TOKEN 环境变量。

用于指定在解释结果时使用哪些扩展的选项

`--model-packs=<`name@range>...

要用作模型包以自定义即将评估的查询的 CodeQL 包名称列表，每个名称都带有一个可选的版本范围。

用于查找 QL 包的选项（可能需要解释查询套件）

`--search-path=<dir>[:<dir>...]`

可以找到 QL 包的目录列表。每个目录都可以是 QL 包（或包含根目录中 .codeqlmanifest.json 文件的包捆绑包）或一个或多个此类目录的直接父目录。

如果路径包含多个目录，则它们的顺序定义它们之间的优先级：当必须解析的包名称在多个目录树中匹配时，第一个给出的目录树优先。

当查询其中一个语言时，将其指向开源 CodeQL 存储库的检出应该可以工作。

如果您已将 CodeQL 存储库检出为解压缩的 CodeQL 工具链的同级目录，则无需提供此选项；否则无法找到的 QL 包始终会在此类同级目录中进行搜索。（如果此默认值不起作用，强烈建议在每个用户的配置文件中设置 --search-path 一劳永逸。）

（注意：在 Windows 上，路径分隔符为 ;）。

`--additional-packs=<dir>[:<dir>...]`

如果提供了此目录列表，则在 --search-path 中的目录之前搜索这些目录中的包。这些目录之间的顺序无关紧要；如果通过此列表在两个不同位置找到包名称，则为错误。

如果您正在临时开发一个也出现在默认路径中的包的新版本，这将非常有用。另一方面，不建议在配置文件中覆盖此选项；某些内部操作会动态添加此选项，从而覆盖任何已配置的值。

（注意：在 Windows 上，路径分隔符为 ;）。

谁可以使用此功能？

本文档内容

--model-packs=<name@range>...

`--model-packs=<`name@range>...