Actions-Abfragen für die CodeQL-Analyse

Erkunde die Abfragen, die CodeQL zum Analysieren von Code verwendet, der in GitHub Actions-Workflowdateien geschrieben wurde, wenn du die Abfragesuite default und security-extended auswählst.

Wer kann dieses Feature verwenden?

CodeQL ist für die folgenden Repositorytypen verfügbar:

Öffentliche Repositorys auf GitHub.com, siehe Geschäftsbedingungen für GitHub CodeQL
Repositorys im Besitz von Organisationen auf GitHub Team, die GitHub Code Security aktiviert haben

CodeQL enthält viele Abfragen zum Analysieren von GitHub Actions-Workflows. Alle Abfragen in der default Abfragesammlung werden standardmäßig ausgeführt. Wenn Sie sich für die Verwendung der security-extended Abfragesammlung entscheiden, werden zusätzliche Abfragen ausgeführt. Weitere Informationen finden Sie unter CodeQL-Abfragesammlungen.

Integrierte Abfragen für die GitHub Actions-Analyse

In dieser Tabelle sind die Abfragen aufgeführt, die mit der neuesten Version der Aktion CodeQL und CodeQL CLI verfügbar sind. Weitere Informationen finden Sie unter CodeQL-Änderungsprotokollen auf der Dokumentationsseite zu CodeQL.

Abfragename	Verwandte CWEs	Standard	Erweitert	Copilot Autofix
Artefakt-Poisoning	829
Cache-Poisoning durch Zwischenspeichern von nicht vertrauenswürdigen Dateien	349
Cache-Poisoning durch Ausführung von nicht vertrauenswürdigen Code	349
Cache-Poisoning durch Codeinjizierung mit geringen Rechten	349, 094
Auschecken von nicht vertrauenswürdigem Code in einem privilegierten Kontext	829
Auschecken von nicht vertrauenswürdigem Code im vertrauenswürdigen Kontext	829
Codeeinschleusung	094, 095, 116
Umgebungsvariable, die aus benutzerdefinierten Quellen erstellt wurde	077, 020
Übermäßige Geheimnisoffenlegung	312
Unsachgemäße Zugriffssteuerung	285
PATH-Umgebungsvariable, die aus benutzerdefinierten Quellen erstellt wurde	077, 020
Speichern vertraulicher Informationen im GitHub Actions-Artefakt	312
Unmaskierte Geheimnisoffenlegung	312
Nicht vertrauenswürdiger Check-Out von TOCTOU	367
Nicht vertrauenswürdiger Check-Out von TOCTOU	367
Verwendung einer bekannten anfälligen Aktion	1,395
Workflow enthält keine Berechtigungen	275
Artefakt-Poisoning	829
Auschecken von nicht vertrauenswürdigem Code im vertrauenswürdigen Kontext	829
Codeeinschleusung	094, 095, 116
Umgebungsvariable, die aus benutzerdefinierten Quellen erstellt wurde	077, 020
PATH-Umgebungsvariable, die aus benutzerdefinierten Quellen erstellt wurde	077, 020
Angeheftetes Tag für eine nicht unveränderliche Aktion im Workflow	829