Skip to main content

Enterprise Server 3.15 в настоящее время доступен в качестве кандидата на выпуск.

Результаты SARIF превышают одно или несколько ограничений

Узнайте, как устранить проблемы, когда файл SARIF отклоняется code scanning из-за превышения одного или нескольких ограничений.

О code scanning ограничения на результаты SARIF

# SARIF results exceed soft limits
  Locations for an alert exceeded limits
  Analysis SARIF file exceeded alert limits
  Rule tags in SARIF file exceed limits
  Alert in SARIF upload exceeded thread flow location limits
  Repository is at risk of exceeding the alert limit.

# SARIF results exceed hard limit
  Alert(s) in SARIF file exceeded thread flow location limits
  Analysis SARIF file rejected due to extension limits
  Analysis SARIF file rejected due to location limit
  Analysis SARIF file rejected due to rule tag limits
  Analysis SARIF file rejected due to result limits
  Analysis SARIF file rejected due to rule limits
  Analysis SARIF file rejected due to run limits
  All analysis uploads blocked due to alert limit

Code scanning задает два типа ограничений полей в файлах результатов SARIF.

  • Обратимые ограничения, определяющие, сколько данных хранится и отображается пользователям.
  • Жесткие ограничения, определяющие максимальный объем данных, принятых для обработки.

Эти ошибки могут отображаться для ФАЙЛОВ SARIF, созданных CodeQL или сторонними средствами анализа.

Данные SARIFМаксимальные значенияОграничения усечения данных
Выполняется для каждого файла20нет
Результаты на выполнение25,000Будут включены только первые 5000 результатов, приоритетные по серьезности.
Правила для каждого запуска25,000нет
Расширения инструментов для каждого запуска100нет
Расположения потоков на результат10,000Будут включены только первые 1000 расположений потоков, используя приоритет.
Расположение на результат1,000Будут включены только 100 расположений.
Теги для каждого правила20Будут включены только 10 тегов.
Ограничение оповещений1 000 000нет

Сведения о проверке ФАЙЛА SARIF см. в разделе "Поддержка SARIF для проверки кода".

Исправление ошибок обратимого ограничения

При превышении мягких ограничений code scanning отображает сведения о самом высоком приоритете. Часто вам не нужно вносить изменения в конфигурацию code scanning. По мере того как команда исправляет оповещения, количество результатов, сообщаемых в каждом запуске, уменьшится до тех пор, пока они не находятся в пределах мягких ограничений и отображаются все результаты. Кроме того, можно использовать подходы, описанные для ошибок жесткого ограничения.

Исправление ошибки "Анализ SARIF-файла отклонен из-за ограничений результатов"

Существует множество рекомендаций и потенциальных решений по сокращению числа результатов, включенных в файл результатов SARIF. Инструкции см. в разделе "Файл результатов SARIF слишком велик".

Исправление "Оповещения в SARIF-файле превысили ограничения расположения потока потока"

Вы можете настроить анализ, чтобы ограничить количество путей потока данных, включенных в результаты. По умолчанию для каждого результата включены 4 пути потока данных.

  • Расширенная настройка CodeQL для code scanning: обновите analyze шаг, чтобы ограничить количество путей не более одного или нуля.

    - name: Perform CodeQL Analysis
      uses: github/codeql-action/analyze
      env: 
        CODEQL_ACTION_EXTRA_OPTIONS: '{"database":{"interpret-results":["--max-paths", 1]}}'
    
  • CodeQL CLI database analyze: обновите команду анализа базы данных, чтобы включить --max-paths=1 флаг. Дополнительные сведения см. в разделе анализ базы данных.

Note

Параметр max-paths влияет на результаты всех запросов потока данных.

Исправление "Анализ SARIF-файла отклонен из-за ограничений выполнения"

Самый простой подход заключается в создании нового ФАЙЛА SARIF для каждого запуска и отправки каждого файла отдельно. Вы добавляете "категорию" в каждый результат, и это позволяет code scanning хранить и отображать результаты соответствующим образом. Дополнительные сведения см. в разделе Поддержка SARIF для проверки кода.

Исправление "Анализ SARIF-файла отклонен из-за ограничений правил"

Здесь есть два возможных подхода.

  1. Уменьшите количество правил, используемых для анализа кода. Дополнительные сведения см. в разделе "Определение набора запросов для выполнения" и "Исключение запроса из анализа" в файле результатов SARIF слишком большой.
  2. Дважды запустите анализ, каждый раз с другим набором правил и отправьте оба файла результатов в code scanning. Дополнительные сведения см. в разделе Поддержка SARIF для проверки кода.

Исправление ошибки "Анализ SARIF-файла отклонен из-за ограничений расширения"

Самый простой подход заключается в создании отдельного ФАЙЛА SARIF при каждом запуске средства и отправке каждого файла отдельно. Кроме того, вам может потребоваться связаться с обслуживающим средством. Дополнительные сведения см. в разделе Поддержка SARIF для проверки кода.

Анализ CodeQL не должен генерировать эту ошибку. Если при использовании действия CodeQL или CodeQL CLI, обратитесь к Служба поддержки GitHub, чтобы сообщить нам об этом. Дополнительные сведения см. в разделе Обращение в службу поддержки GitHub.

Исправление "Анализ SARIF-файла отклонен из-за ограничения расположения"

Лучший способ устранить эту проблему обычно заключается в том, чтобы определить запрос, который сообщает слишком много расположений и исключить его из анализа. Сведения о том, как это сделать, см. в разделе "Файл результатов SARIF слишком велик".

Исправление ошибки "Анализ SARIF-файла отклонен из-за ограничений тегов правил"

Необходимо обновить ФАЙЛ SARIF или генератор, чтобы массив тегов, сообщаемых для каждого reportingDescriptor объекта, был меньше 10. Дополнительные сведения см. в разделе properties.tags[] "Поддержка SARIF для проверки кода".

Исправление "Репозиторий подвержен риску превышения предела оповещений" и "Все отправки анализа заблокированы из-за ограничения оповещений"

Это ограничение активируется репозиторием, создающим более уникальные оповещения, чем когда-либо существовать в рамках хорошо функционирующей конфигурации code scanning . Возможно, это связано с выходными данными используемого стороннего инструмента и может не быть ошибкой конфигурации пользователя. Возможны ошибки конфигурации пользователя и ошибка поставщика инструментов.

Чтобы устранить эту проблему, выполните несколько действий.

  1. Просмотрите создаваемые файлы SARIF, чтобы определить причину оповещений code scanning классифицируются как отдельные в разных запусках средства. Обычно это связано с одним из следующих:
    • Свойство SARIF artifactLocation.uri (filepath в пользовательском интерфейсе оповещений code scanning не является детерминированным из-за включения временных каталогов или созданных имен файлов.
    • Используемое средство создает неустойчивые имена или artifactLocation object uri property значения правил SARIF, которые обычно являются результатом использования хэшей (из фиксаций git или SAS образа Docker, например) или других источников данных, которые изменяются в запусках или средах.
  2. После того как вы определили источник проблемы, необходимо обновить конфигурацию соответствующим образом и обратиться к поставщику инструментов, если его средство является источником нестабильных результатов SARIF.
  3. Остановите отправку результатов сканирования кода для любых сторонних средств, которые создают недетерминированные выходные данные, пока они не будут исправлены поставщиком инструментов.

Дополнительные шаги для параметра "Все отправки анализа заблокированы из-за ограничения оповещений"

Помимо исправления конфигурации сканирования кода и удаления или исправления выходных данных сторонних средств, вам потребуется обратиться к ваш администратор сайта для удаления оповещений для любых проблемных конфигураций.

В настоящее время нет метода самообслуживания для удаления оповещений, поэтому перед повторной проверкой кода необходимо обратиться в службу поддержки клиентов.