Consultas do Actions para análise CodeQL

Explore as consultas que o CodeQL usa para analisar o código escrito em arquivos de fluxo de trabalho do GitHub Actions ao selecionar o conjunto de consultas default ou security-extended.

Quem pode usar esse recurso?

O CodeQL está disponível para os seguintes tipos de repositórios:

Repositórios públicos no GitHub.com, consulte os Termos e Condições do GitHub CodeQL
Repositórios de propriedade da organização no GitHub Team com GitHub Code Security habilitado

O CodeQL inclui muitas consultas para analisar os fluxos de trabalho do GitHub Actions. Todas as consultas no conjunto de consultas default são executadas por padrão. Se você optar por usar o conjunto de consultas security-extended, consultas adicionais serão executadas. Para saber mais, confira Conjuntos de consultas CodeQL.

Consultas internas para análise do GitHub Actions

Esta tabela lista as consultas disponíveis com a versão mais recente da ação CodeQL e CodeQL CLI. Para obter mais informações, consulte Logs de alterações do CodeQL no site de documentação do CodeQL .

Nome da consulta	CWEs relacionados	Padrão	Estendido	Copilot Autofix
Envenenamento de artefato	829
Envenenamento de cache por meio do armazenamento em cache de arquivos não confiáveis	349
Envenenamento de cache por meio da execução de código não confiável	349
Envenenamento de cache por meio de injeção de código com poucos privilégios	349, 094
Check-out de código não confiável em um contexto com privilégios	829
Check-out de código não confiável em um contexto confiável	829
Injeção de código	094, 095, 116
Variável de ambiente criada a partir de fontes controladas pelo usuário	077, 020
Exposição excessiva de segredos	312
Controle de acesso inadequado	285
Variável de ambiente PATH criada a partir de fontes controladas pelo usuário	077, 020
Armazenamento de informações confidenciais no artefato do GitHub Actions	312
Exposição de segredo não mascarado	312
TOCTOU de check-out não confiável	367
TOCTOU de check-out não confiável	367
Uso de uma ação vulnerável conhecida	1,395
Fluxo de trabalho não contém permissões	275
Envenenamento de artefato	829
Check-out de código não confiável em um contexto confiável	829
Injeção de código	094, 095, 116
Variável de ambiente criada a partir de fontes controladas pelo usuário	077, 020
Variável de ambiente PATH criada a partir de fontes controladas pelo usuário	077, 020
Marca desafixada para uma ação não imutável no fluxo de trabalho	829