CodeQL には、GitHub Actions で使われるワークフローを分析するクエリが多数含まれています。 default クエリ スイート内のすべてのクエリは、既定で実行されます。 security-extended クエリ スイートを使用する場合は、追加のクエリが実行されます。 詳しくは、「CodeQL クエリ スイート」をご覧ください。
ワークフロー分析用の組み込みクエリ
次の表に、最新リリースの CodeQL アクションと CodeQL CLI で使用できるクエリを示します。 詳細については、CodeQL ドキュメントにある CodeQL クエリに関するページを参照してください。
メモ
GitHub Enterprise Server 3.17 の最初のリリースには、CodeQL アクションと CodeQL CLI 2.20.7 が含まれていました。これには、これらのクエリがすべて含まれていない場合があります。 サイト管理者は、CodeQL バージョンを新しいリリースに更新できます。 詳しくは、「アプライアンス用コードスキャンの構成」をご覧ください。
| クエリ名 | 関連する CWE | デフォルト値 | Extended | Copilot Autofix |
|---|---|---|---|---|
| 成果物ポイズニング | 829 | |||
| 信頼されていないファイルのキャッシュによるキャッシュ ポイズニング | 349 | |||
| 信頼されていないコードの実行によるキャッシュ ポイズニング | 349 | |||
| 低特権コード インジェクションによるキャッシュ ポイズニング | 349、094 | |||
| 特権コンテキストでの信頼されていないコードのチェックアウト | 829 | |||
| 信頼されたコンテキストでの信頼されていないコードのチェックアウト | 829 | |||
| コード インジェクション | 094, 095, 116 | |||
| ユーザーが制御するソースから構築された環境変数 | 077、020 | |||
| 過度のシークレットの露出 | 312 | |||
| 不適切なアクセス制御 | 285 | |||
| ユーザーが管理するソースから構築された PATH 環境変数 | 077、020 | |||
| GitHub Actions 成果物内の機密情報の保持 | 312 | |||
| マスクされていないシークレットの露出 | 312 | |||
| 信頼されていないチェックアウト TOCTOU | 367 | |||
| 信頼されていないチェックアウト TOCTOU | 367 | |||
| 既知の脆弱なアクションの使用 | 1,395 | |||
| ワークフローにアクセス許可が含まれていない | 275 | |||
| 成果物ポイズニング | 829 | |||
| 信頼されたコンテキストでの信頼されていないコードのチェックアウト | 829 | |||
| コード インジェクション | 094, 095, 116 | |||
| ユーザーが制御するソースから構築された環境変数 | 077、020 | |||
| ユーザーが管理するソースから構築された PATH 環境変数 | 077、020 | |||
| ワークフロー内の変更不可アクションの固定されていないタグ | 829 |