コード スキャン ログ

使用できるログと診断情報は、リポジトリ内の code scanning に使用する方法によって異なります。 リポジトリの [ Security] タブで、使用している**** の種類を確認するには、アラート 一覧の [ツール] ドロップダウン メニューを使用します。 このページにアクセスするには、 リポジトリのコード スキャンのアラートの評価 を参照してください。

ログオン GitHub

          CodeQL分析を用いてcode scanningをGitHubで実行した際の分析および診断情報を確認できます。

• アラート一覧の上部にあるヘッダーに、最新の分析に関する分析情報が表示されます。 「リポジトリのコード スキャンのアラートの評価」を参照してください。
• 診断情報は、 GitHub Actions ワークフロー ログに表示され、概要メトリックとエクストラクター診断で構成されます。 これらのログにアクセスするには、 GitHub Actionsからのコード スキャン ログの表示 を参照してください。

集計メトリック

サマリのメトリクスには以下が含まれます。

• CodeQLデータベースの作成と抽出前のコードベース中のコードの行数（ベースラインとして使われます）
• 外部ライブラリと自動生成されたファイルを含む、コードから抽出されたCodeQLデータベース中のコードの行数
• 自動生成されたファイルと外部ライブラリを除く、CodeQLデータベース中のコードの行数

ソース コード抽出の診断

抽出診断は分析の間に見られたファイルのみをカバーし、以下のメトリクスを含みます。

• 分析に成功したファイル数
• データベースの作成中に抽出エラーを生成したファイル数
• データベースの作成中に抽出の警告を生成したファイル数

デバッグ ログを有効にすると、データベースの作成時に発生した CodeQL エクストラクターエラーと警告に関する詳細情報を確認できます。 「ログの詳細が十分ではありません」を参照してください。

プライベート パッケージ レジストリの診断情報

          Code scanning 既定のセットアップ ワークフローには、 `Setup proxy for registries` の手順が含まれます。 既定のセットアップのワークフロー実行を確認する場合は、この手順を展開して対応するログを表示できます。 これには、分析で使用できたプライベート パッケージ レジストリ構成に関する情報が含まれます。 さらに、ログには、プライベート パッケージ レジストリが既定のセットアップで正常に使用されていない場合のトラブルシューティングに役立つ診断情報 code scanning 含まれています。 次のメッセージを探します。

* Using registries_credentials input.Organization に対して少なくとも 1 つのプライベート レジストリが構成されています。 これには、既定のセットアップではサポートされていないプライベート レジストリの種類 code scanning 構成が含まれます。 サポートされているレジストリの種類の詳細については、 セキュリティ機能にプライベート レジストリへのアクセスを許可する を参照してください。

• Credentials loaded for the following registries:

  • 次の構成の一覧がない場合は、既定のセットアップでサポートされているプライベート レジストリ構成 code scanning 見つかりませんでした。
  • それ以外の場合は、正常に読み込まれたサポートされている構成ごとに 1 行が表示されます。 たとえば、 Type: nuget_feed; Host: undefined; Url: https://nuget.pkg.github.com/; Username: undefined; Password: true; Token: false を含む行は、プライベート NuGet フィード構成が読み込まれたことを示します。
  • ログ内の構成に関する情報は、UI で組織に対して構成されているものと正確に一致しない場合があります。 たとえば、UI で Password が構成されている場合でも、ログは Token が設定されていることを示している場合があります。

•         `Proxy started on 127.0.0.1:49152` 構成されたプライベート パッケージ レジストリ code scanning 認証するために既定のセットアップで使用される認証プロキシが正常に開始されました。
  

• その後、接続テストの結果に関するメッセージが表示され、認証プロキシを介して構成されたプライベート パッケージ レジストリに到達しようとします。 ベストエフォート型のプロセスです。 一部のレジストリでこれらのチェックが成功しない場合、必ずしも関連する構成が機能していないというわけではありません。 ただし、既定のセットアップ code scanning 分析中にプライベート レジストリの依存関係に正常にアクセスできない場合は、問題のトラブルシューティングに役立つ情報が提供される可能性があります。

          `Setup proxy for registries`の手順からの出力が期待どおりであっても、既定code scanningセットアップでプライベート レジストリの依存関係に正常にアクセスできない場合は、追加のトラブルシューティング情報を取得できます。 「[AUTOTITLE](/code-security/how-tos/scan-code-for-vulnerabilities/troubleshooting/troubleshooting-analysis-errors/logs-not-detailed-enough#creating-codeql-debugging-artifacts-for-codeql-default-setup)」を参照してください。
  

プライベート レジストリ code scanning 既定のセットアップ アクセス権を付与する方法の詳細については、 セキュリティ機能にプライベート レジストリへのアクセスを許可する を参照してください。

          CodeQL CLI のログ

          CodeQL CLIの外部でGitHubを使用している場合は、データベース分析中に生成された出力に診断情報が表示されます。 この情報は、SARIF 結果ファイルにも含まれます。

ログイン VS Code

進行状況とエラー メッセージは、 Visual Studio Code ワークスペースの右下隅に通知として表示されます。 これらは、[出力] ウィンドウのより詳細なログとエラー メッセージにリンクされています。

          CodeQL拡張機能、言語サーバー、クエリ サーバー、またはテストの個別のログにアクセスできます。 言語サーバー ログには、 CodeQL 言語保守担当者向けのより高度なデバッグ ログが含まれています。 これらは、バグ報告の詳細を提供する場合にのみ必要です。

これらのログにアクセスするには、 Visual Studio Code で CodeQL のログにアクセスする を参照してください。