关于使用容器化构建的 code scanning
如果为编译语言配置 code scanning,并且在容器化环境中生成代码,则分析可能会失败,并返回错误消息“在生成过程中没有看到源代码”。 这表明 CodeQL 在代码编译过程中无法监视代码。
您必须在构建代码的容器中运行 CodeQL。 无论你使用的是 CodeQL CLI 还是 GitHub Actions,这都适用。 有关 CodeQL CLI 的详细信息,请参阅“在现有 CI 系统上使用代码扫描”。 如果您使用 GitHub Actions,请配置工作流程以在同一容器中运行所有操作。 有关详细信息,请参阅“示例工作流”。
Note
CodeQL CLI 当前与非 glibc Linux 发行版不兼容,例如(基于 musl 的)Alpine Linux。
CodeQL code scanning 的依赖项
如果您使用的容器缺少某些依赖项(例如,Git 必须安装并添加到 PATH 变量),您可能难以运行 code scanning。 如果遇到依赖项问题,请查看通常包含在 GitHub 运行器映像中的软件列表。 有关详细信息,请参阅以下位置中特定于版本的 readme
文件:
- Linux:https://github.com/actions/runner-images/tree/main/images/ubuntu
- macOS:https://github.com/actions/runner-images/tree/main/images/macos
- Windows: https://github.com/actions/runner-images/tree/main/images/windows
示例工作流
注意:本文介绍了此版 GitHub Enterprise Server 的初始发行版中包含的 CodeQL 操作版本和相关 CodeQL CLI 捆绑包中可用的功能。 如果企业使用较新版本的 CodeQL 操作,请参阅本文的 GitHub Enterprise Cloud 版本,了解有关最新功能的信息。 有关使用最新版本的信息,请参阅“为设备配置代码扫描”。
此示例工作流程在容器化环境中使用 GitHub Actions 运行 CodeQL 分析。 container.image
的值标识要使用的容器。 在此示例中,映像名为 codeql-container
,标记为 f0f91db
。 有关详细信息,请参阅“GitHub Actions 的工作流语法”。
name: "CodeQL"
on:
push:
branches: [main]
pull_request:
branches: [main]
schedule:
- cron: '15 5 * * 3'
jobs:
analyze:
name: Analyze
runs-on: ubuntu-latest
permissions:
security-events: write
actions: read
strategy:
fail-fast: false
matrix:
language: [java]
# Specify the container in which actions will run
container:
image: codeql-container:f0f91db
steps:
- name: Checkout repository
uses: actions/checkout@v4
- name: Initialize CodeQL
uses: github/codeql-action/init@v2
with:
languages: ${{ matrix.language }}
- name: Build
run: |
./configure
make
- name: Perform CodeQL Analysis
uses: github/codeql-action/analyze@v2