我尝试过使用从https://docs.github.com/en/code-security/code-scanning/automatically-scanning-your-code-for-vulnerability-and-errors/configuring-中读到的 paths-ignore代码扫描,但它没有帮助,因为他们无法确定 git 操作运行时将分析哪些文件。我还发现了这篇文章https://josh-ops.com/posts/github-codeql-ignore-files/,其中讨论了使用 filter-sarif 操作,但它没有发布到市场。任何建议,将不胜感激
我已通过网站将 CodeQL 集成到我的 github 项目中。它可以工作、分析并生成 SARIF 文件。然后它说结果已成功上传:
Uploading results
Processing sarif files: ["/home/runner/work/my_project/results/cpp-builtin.sarif"]
Uploading results
Successfully uploaded results
在哪里?我在哪里可以找到这些结果并阅读它们?CodeQL 如何指示发现问题?我的 .yaml 包含:
- run: |
sudo -n apt-get install -y autopoint gettext
autoreconf --install
./configure
make
- name: Perform CodeQL Analysis
uses: github/codeql-action/analyze@v1