关于 CSV 输出
您可以将 CodeQL CLI 的分析结果保存为多种不同格式,包括 SARIF 和 CSV。我们通常建议使用 SARIF,因为它是一种静态分析工具的标准输出,并且更易于解析。您还可以将 SARIF 文件上传到 GitHub。但是,如果您需要使用自己的工具进一步处理分析结果,则 CSV 格式可能很有用。有关为分析结果选择文件格式的更多信息,请参阅“database analyze”。
有关 SARIF 格式的更多信息,请参阅 CodeQL CLI SARIF 输出。
如果您选择以 CSV 格式生成结果,则输出文件中的每一行都对应于一个警报。每一行都是一个逗号分隔的列表,其中包含以下信息。
| 属性 | 描述 | 示例 |
|---|---|---|
| 名称 | 识别结果的查询的名称。 | 低效的正则表达式 |
| 描述 | 查询的描述。 | 需要指数时间才能匹配某些输入的正则表达式可能是性能瓶颈,并且可能容易受到拒绝服务攻击。 |
| 严重性 | 查询的严重性。 | 错误 |
| 消息 | 警报消息。 | 正则表达式的这部分可能会在包含许多“\\\\”重复的字符串上导致指数回溯。 |
| 路径 | 包含警报的文件的路径。 | /vendor/codemirror/markdown.js |
| 起始行 | 触发警报的代码开始所在的文件的行。 | 617 |
| 起始列 | 标记警报代码开始的起始行的列。当等于 1 时不包括在内。 | 32 |
| 结束行 | 触发警报的代码结束所在的文件的行。当与起始行相同的值时不包括在内。 | 64 |
| 结束列 | 如果可用,则标记警报代码结束的结束行的列。否则重复结束行。 | 617 |