CodeQL 包含许多用于分析 GitHub Actions 所使用的工作流的查询。 默认情况下,default 查询套件中的所有查询都会运行。 如果选择使用 security-extended 查询套件,则会运行其他查询。 有关详细信息,请参阅“CodeQL 查询套件”。
用于工作流分析的内置查询
下表列出了最新版本的 CodeQL 操作和 CodeQL CLI 的可用查询。 有关详细信息,请参阅 CodeQL 文档中的 CodeQL 更改日志。
| 查询名称 | 相关的 CWE | 默认 | 延期 | Copilot Autofix |
|---|---|---|---|---|
| 工件中毒 | 829 | |||
| 通过缓存不受信任的文件造成的缓存中毒 | 349 | |||
| 通过执行不受信任的代码造成的缓存中毒 | 349 | |||
| 通过低权限代码注入造成的缓存中毒 | 349, 094 | |||
| 在高权限上下文中签出不受信的代码 | 829 | |||
| 在受信任的上下文中签出不受信任的代码 | 829 | |||
| 代码注入 | 094、095、116 | |||
| 从用户控制的源生成的环境变量 | 077, 020 | |||
| 机密暴露过多 | 312 | |||
| 访问控制不当 | 285 | |||
| 从用户控制的源生成的 PATH 环境变量 | 077, 020 | |||
| GitHub Actions 项目中的敏感信息存储 | 312 | |||
| 未屏蔽的机密暴露 | 312 | |||
| 不受信任的签出 TOCTOU | 367 | |||
| 不受信任的签出 TOCTOU | 367 | |||
| 使用已知易受攻击的操作 | 1,395 | |||
| 工作流不包含权限 | 275 | |||
| 工件中毒 | 829 | |||
| 在受信任的上下文中签出不受信任的代码 | 829 | |||
| 代码注入 | 094、095、116 | |||
| 从用户控制的源生成的环境变量 | 077, 020 | |||
| 从用户控制的源生成的 PATH 环境变量 | 077, 020 | |||
| 工作流中使用未固定标签的非不可变 Action | 829 |