CodeQL 包含许多用于分析 GitHub Actions 工作流的查询。 默认情况下,default 查询套件中的所有查询都会运行。 如果选择使用 security-extended 查询套件,则会运行其他查询。 有关详细信息,请参阅“CodeQL 查询套件”。
GitHub Actions 分析的内置查询
此表列出了 CodeQL 操作和 CodeQL CLI 的最新版本中可用的查询。 有关详细信息,请参阅CodeQL文档站点中的CodeQL更改日志。
注意
GitHub Enterprise Server3.20的初始版本包含了CodeQL操作和CodeQL CLI2.23.9,其中可能并不包含所有这些查询。 站点管理员可以将您的CodeQL版本更新到较新的版本。 有关详细信息,请参阅“为您的设备配置代码扫描”。
| 查询名称 | 相关的 CWE | 默认 | 延期 | Copilot自动修复 |
|---|---|---|---|---|
| 工件中毒 | 829 | |||
| 通过缓存不受信任的文件导致缓存中毒 | 349 | |||
| 通过执行不受信任的代码导致缓存中毒 | 349 | |||
| 通过低特权代码注入导致缓存中毒 | 349, 094 | |||
| 在特权上下文中签出不受信任的代码 | 829 | |||
| 在特权上下文中签出不受信任的代码 | 829 | |||
| 代码注入 | 094、095、116 | |||
| 从用户控制的来源生成的环境变量 | 077, 020 | |||
| 机密暴露过多 | 312 | |||
| 访问控制不当 | 285 | |||
| 从用户控制的来源生成的 PATH 环境变量 | 077, 020 | |||
| 在 GitHub Actions 工件中存储敏感信息 | 312 | |||
| 未屏蔽的机密暴露 | 312 | |||
| 不受信任的签出 TOCTOU | 367 | |||
| 不受信任的签出 TOCTOU | 367 | |||
| 使用已知易受攻击的操作 | 1395 | |||
| 工作流不包含权限 | 275 | |||
| 工件中毒 | 829 | |||
| 在受信任的上下文中签出不受信任的代码 | 829 | |||
| 代码注入 | 094、095、116 | |||
| 从用户控制的来源生成的环境变量 | 077, 020 | |||
| 从用户控制的来源生成的 PATH 环境变量 | 077, 020 | |||
| 工作流或复合操作中非不可变操作的未固定标记 | 829 |