解决查询

【深度管道】扩展查询目录和套件规范。

谁可以使用此功能?

CodeQL 可用于以下类型的代码库

本文档内容

此内容描述了 CodeQL CLI 的最新版本。有关此版本的更多信息,请参阅 https://github.com/github/codeql-cli-binaries/releases

要在早期版本中查看此命令可用的选项的详细信息,请在终端中使用 --help 选项运行该命令。

摘要

Shell
codeql resolve queries <options>... -- <query|dir|suite|pack>...

描述

【深度管道】扩展查询目录和套件规范。

此管道命令负责将可以运行多个查询的子命令的命令行参数扩展为要执行的单个 .ql 文件的实际列表。

如果在没有任何参数的情况下运行,则会将包含在可用 QL 包中找到的“众所周知”查询套件定义列表的帮助消息显示到标准错误流,并成功返回查询的空列表。

选项

主要选项

<querysuite|pack>...

[必填] 要执行的查询。每个参数的格式为 scope/name@range:path,其中

  • scope/name 是 CodeQL 包的限定名称。
  • range 是一个语义版本范围。
  • path 是一个文件系统路径。

如果指定了 scope/name,则 rangepath 是可选的。缺少 range 表示指定包的最新版本。缺少 path 表示指定包的默认查询套件。

path 可以是 *.ql 查询文件、包含一个或多个查询的目录或 .qls 查询套件文件。如果没有指定包名称,则必须提供 path,并且将相对于当前进程的当前工作目录进行解释。

要指定包含文字 @:path,请在参数前面使用 path: 作为前缀,例如:path:directory/with:and@/chars

如果指定了 scope/namepath,则 path 不能是绝对路径。它被认为相对于 CodeQL 包的根目录。

--format=<fmt>

选择输出格式。选项包括

text (默认):以行为导向的路径名称列表。

json:作为字符串的简单路径名称列表。

bylanguage:更丰富的 JSON 表示形式,根据其库依赖关系推断出的查询分组,哪个提取器可以使用它们——这在计算上稍微昂贵一些。

installedpacks:【深度管道】一个 JSON 表示形式,列出直接或在查询套件内引用的并且在本地不可用的 CodeQL 查询包。

查找 QL 包的选项(可能需要解释查询套件)

--search-path=<dir>[:<dir>...]

可能找到 QL 包的一系列目录。每个目录可以是 QL 包(或包含根目录中 .codeqlmanifest.json 文件的包捆绑包)或一个或多个此类目录的直接父目录。

如果路径包含多个目录,则它们的顺序定义了它们之间的优先级:当必须解析的包名称在多个目录树中匹配时,第一个给出的目录树优先。

当查询其中一种语言时,将其指向开源 CodeQL 存储库的检出应该可以工作。

如果您已将 CodeQL 存储库检出为解压的 CodeQL 工具链的同级目录,则无需提供此选项;在其他情况下找不到 QL 包时,始终会搜索此类同级目录。 (如果此默认设置不起作用,强烈建议在每个用户的配置文件中设置一次 --search-path。)

(注意:在 Windows 上,路径分隔符为 ;)。

--additional-packs=<dir>[:<dir>...]

如果提供了此目录列表,则会在 --search-path 中的目录之前搜索这些目录中的包。这些目录之间的顺序无关紧要;如果通过此列表在两个不同位置找到包名称,则会发生错误。

如果您正在临时开发也出现在默认路径中的包的新版本,这将很有用。另一方面,不建议在配置文件中覆盖此选项;某些内部操作会动态添加此选项,覆盖任何已配置的值。

(注意:在 Windows 上,路径分隔符为 ;)。

配置 CodeQL 包管理器选项

--registries-auth-stdin

通过传递逗号分隔的 <registry_url>=<token> 对列表来对 GitHub Enterprise Server 容器注册表进行身份验证。

例如,您可以传递 https://containers.GHEHOSTNAME1/v2/=TOKEN1,https://containers.GHEHOSTNAME2/v2/=TOKEN2 来对两个 GitHub Enterprise Server 实例进行身份验证。

这将覆盖 CODEQL_REGISTRIES_AUTH 和 GITHUB_TOKEN 环境变量。如果您只需要对 github.com 容器注册表进行身份验证,则可以使用更简单的 --github-auth-stdin 选项进行身份验证。

--github-auth-stdin

通过标准输入传递 github.com GitHub Apps 令牌或个人访问令牌来对 github.com 容器注册表进行身份验证。

要对 GitHub Enterprise Server 容器注册表进行身份验证,请传递 --registries-auth-stdin 或使用 CODEQL_REGISTRIES_AUTH 环境变量。

这将覆盖 GITHUB_TOKEN 环境变量。

常用选项

-h, --help

显示此帮助文本。

-J=<opt>

[高级] 向运行命令的 JVM 提供选项。

(请注意,包含空格的选项将无法正确处理。)

-v, --verbose

逐步增加打印的进度消息数量。

-q, --quiet

逐步减少打印的进度消息数量。

--verbosity=<level>

[高级] 将详细程度级别显式设置为 errors、warnings、progress、progress+、progress++、progress+++ 之一。覆盖 -v-q

--logdir=<dir>

[高级] 将详细日志写入给定目录中的一个或多个文件,生成的名称包含时间戳和正在运行的子命令的名称。

(要使用您完全控制的名称写入日志文件,请改为提供 --log-to-stderr 并根据需要重定向标准错误。)

--common-caches=<dir>

[高级] 控制磁盘上缓存数据的存储位置,这些数据将在 CLI 的多次运行之间持续存在,例如下载的 QL 包和编译的查询计划。如果未显式设置,则默认为用户主目录中名为 .codeql 的目录;如果该目录不存在,则会创建它。

v2.15.2 起可用。