解析扩展

[实验性] [深度管道] 确定可访问的扩展。这包括机器学习模型和数据扩展。

谁可以使用此功能?

CodeQL 可用于以下存储库类型

本文档内容

此内容描述了 CodeQL CLI 的最新版本。有关此版本的更多信息,请参阅 https://github.com/github/codeql-cli-binaries/releases

要在早期版本中查看此命令可用的选项的详细信息,请在终端中使用 --help 选项运行该命令。

摘要

Shell
codeql resolve extensions <options>... -- <query|dir|suite|pack>...

描述

[深度管道] 确定可访问的扩展。这包括机器学习模型和数据扩展。

此管道命令解析可用于作为命令行参数传递的查询指定程序的数据扩展集和 GitHub 创建的机器学习模型。

选项

主要选项

<querysuite|pack>...

[必填] 要执行的查询。每个参数都采用 scope/name@range:path 的形式,其中

  • scope/name 是 CodeQL 包的限定名称。
  • range 是一个 semver 范围。
  • path 是一个文件系统路径。

如果指定了 scope/name,则 rangepath 为可选。缺少 range 表示指定包的最新版本。缺少 path 表示指定包的默认查询套件。

path 可以是 *.ql 查询文件、包含一个或多个查询的目录或 .qls 查询套件文件。如果没有指定包名称,则必须提供 path,并且将根据当前进程的当前工作目录进行解释。

要指定包含文字 @:path,请使用 path: 作为参数的前缀,如下所示:path:directory/with:and@/chars

如果指定了 scope/namepath,则 path 不能是绝对路径。它被认为相对于 CodeQL 包的根目录。

--search-path=<dir>[:<dir>...]

可以在其中找到 QL 包的目录列表。每个目录可以是 QL 包(或包含根目录中 .codeqlmanifest.json 文件的包捆绑包)或一个或多个此类目录的直接父目录。

如果路径包含多个目录,则它们的顺序定义了它们之间的优先级:当必须解析的包名称在多个目录树中匹配时,第一个给出的目录树优先。

当查询其中一种语言时,将其指向开源 CodeQL 存储库的检出应该可以工作。

如果已将 CodeQL 存储库检出为解压的 CodeQL 工具链的同级目录,则无需提供此选项;否则无法找到的 QL 包将始终搜索此类同级目录。(如果此默认设置不起作用,强烈建议在每个用户的配置文件中一劳永逸地设置 --search-path)。

(注意:在 Windows 上,路径分隔符为 ;)。

--additional-packs=<dir>[:<dir>...]

如果给出了此目录列表,则将在 --search-path 中的目录之前搜索这些目录中的包。它们之间的顺序无关紧要;如果通过此列表在两个不同位置找到包名称,则为错误。

如果您暂时正在开发新版本的包(该包也出现在默认路径中),则此功能很有用。另一方面,**不建议**在配置文件中覆盖此选项;某些内部操作将动态添加此选项,覆盖任何已配置的值。

(注意:在 Windows 上,路径分隔符为 ;)。

--model-packs=<name@range>...

要作为模型包使用的一系列 CodeQL 包名称,每个名称都带有一个可选的版本范围,以自定义即将评估的查询。

--threat-model=<name>...

要启用或禁用的威胁模型列表。

参数是威胁模型的名称,前面可以选择加一个“!”。如果不存在“!”,则启用命名的威胁模型及其所有后代。如果存在“!”,则禁用命名的威胁模型及其所有后代。

默认情况下启用“default”威胁模型,但可以通过指定“--threat-model !default”来禁用它。

“all”威胁模型可用于启用或禁用所有威胁模型。

--threat-model 选项按顺序处理。例如,'--threat-model local --threat-model !environment' 会启用 'local' 组中的所有威胁模型,除了 'environment' 威胁模型。

此选项仅对支持威胁模型的语言有效。

v2.15.3 版本起可用。

配置 CodeQL 包管理器选项

--registries-auth-stdin

通过传递以逗号分隔的 <registry_url>=<token> 对列表,对 GitHub Enterprise Server 容器注册表进行身份验证。

例如,您可以传递 https://containers.GHEHOSTNAME1/v2/=TOKEN1,https://containers.GHEHOSTNAME2/v2/=TOKEN2 以对两个 GitHub Enterprise Server 实例进行身份验证。

这会覆盖 CODEQL_REGISTRIES_AUTH 和 GITHUB_TOKEN 环境变量。如果您只需要对 github.com 容器注册表进行身份验证,则可以使用更简单的 --github-auth-stdin 选项进行身份验证。

--github-auth-stdin

通过标准输入传递 github.com GitHub Apps 令牌或个人访问令牌,对 github.com 容器注册表进行身份验证。

要对 GitHub Enterprise Server 容器注册表进行身份验证,请传递 --registries-auth-stdin 或使用 CODEQL_REGISTRIES_AUTH 环境变量。

这会覆盖 GITHUB_TOKEN 环境变量。

常用选项

-h, --help

显示此帮助文本。

-J=<opt>

【高级】向运行命令的 JVM 提供选项。

(注意,包含空格的选项将无法正确处理。)

-v, --verbose

逐步增加打印的进度消息数量。

-q, --quiet

逐步减少打印的进度消息数量。

--verbosity=<level>

【高级】将详细程度级别显式设置为 errors、warnings、progress、progress+、progress++、progress+++ 之一。覆盖 -v-q

--logdir=<dir>

【高级】将详细日志写入给定目录中的一个或多个文件,生成的文件名包含时间戳和正在运行的子命令的名称。

(要写入一个您可以完全控制其名称的日志文件,请改用 --log-to-stderr 并根据需要重定向 stderr。)

--common-caches=<dir>

【高级】控制磁盘上缓存数据的存储位置,这些数据将在 CLI 的多次运行之间保留,例如下载的 QL 包和编译的查询计划。如果未显式设置,则默认为用户主目录中名为 .codeql 的目录;如果该目录不存在,则会创建它。

v2.15.2 版本起可用。