CodeQL には、GitHub Actions ワークフローを分析するクエリが多数用意されています。 default クエリ スイート内のすべてのクエリは、既定で実行されます。 security-extended クエリ スイートを使用する場合は、追加のクエリが実行されます。 詳しくは、「CodeQL クエリ スイート」をご覧ください。
GitHub Actions 分析用の組み込みクエリ
次の表に、最新リリースの CodeQL アクションと CodeQL CLI で使用できるクエリを示します。 詳細については、CodeQL ドキュメントにある CodeQL クエリに関するページを参照してください。
| クエリ名 | 関連する CWE | デフォルト値 | Extended | Copilot Autofix |
|---|---|---|---|---|
| 成果物ポイズニング | 829 | |||
| 信頼されていないファイルのキャッシュによるキャッシュ ポイズニング | 349 | |||
| 信頼されていないコードの実行によるキャッシュ ポイズニング | 349 | |||
| 低特権コード インジェクションによるキャッシュ ポイズニング | 349、094 | |||
| 特権コンテキストでの信頼されていないコードのチェックアウト | 829 | |||
| 信頼されたコンテキストでの信頼されていないコードのチェックアウト | 829 | |||
| コード インジェクション | 094, 095, 116 | |||
| ユーザーが制御するソースから構築された環境変数 | 077、020 | |||
| 過度のシークレットの露出 | 312 | |||
| 不適切なアクセス制御 | 285 | |||
| ユーザーが管理するソースから構築された PATH 環境変数 | 077、020 | |||
| GitHub Actions 成果物内の機密情報の保持 | 312 | |||
| マスクされていないシークレットの露出 | 312 | |||
| 信頼されていないチェックアウト TOCTOU | 367 | |||
| 信頼されていないチェックアウト TOCTOU | 367 | |||
| 既知の脆弱なアクションの使用 | 1,395 | |||
| ワークフローにアクセス許可が含まれていない | 275 | |||
| 成果物ポイズニング | 829 | |||
| 信頼されたコンテキストでの信頼されていないコードのチェックアウト | 829 | |||
| コード インジェクション | 094, 095, 116 | |||
| ユーザーが制御するソースから構築された環境変数 | 077、020 | |||
| ユーザーが管理するソースから構築された PATH 環境変数 | 077、020 | |||
| ワークフロー内の変更不可アクションの固定されていないタグ | 829 |