CodeQL inclui muitas consultas para analisar fluxos de trabalho GitHub Actions. Todas as consultas no conjunto de consultas default são executadas por padrão. Se você optar por usar o conjunto de consultas security-extended, consultas adicionais serão executadas. Para saber mais, confira Conjuntos de consultas CodeQL.
Consultas internas para análise de GitHub Actions
Esta tabela lista as consultas disponíveis com a versão mais recente da ação CodeQL e CodeQL CLI. Para obter mais informações, consulte Logs de alterações do CodeQL no site de documentação do CodeQL .
Observação
A versão inicial do GitHub Enterprise Server 3.20 incluía a ação CodeQL e CodeQL CLI 2.23.9, que pode não incluir todas essas consultas. O administrador do site pode atualizar sua versão do CodeQL para uma versão mais recente. Para saber mais, confira Como configurar a verificação de código do seu dispositivo.
| Nome da consulta | CWEs relacionados | Padrão | Estendido | Autofixo do Copilot |
|---|
[Envenenamento de artefato](https://codeql.github.com/codeql-query-help/actions/actions-artifact-poisoning-critical/) | 829 | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Inclu" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Inclu" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Inclu" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> |
| Envenenamento de cache por meio do armazenamento em cache de arquivos não confiáveis | 349 | | | | | Envenenamento de cache por meio da execução de código não confiável | 349 | | | | | Envenenamento de cache por meio de injeção de código com poucos privilégios | 349, 094 | | | | | Check-out de código não confiável em um contexto com privilégios | 829 | | | | | Check-out de código não confiável em um contexto confiável | 829 | | | | | Injeção de código | 094, 095, 116 | | | | | Variável de ambiente criada a partir de fontes controladas pelo usuário | 077, 020 | | | | | Exposição excessiva de segredos | 312 | | | | | Controle de acesso inadequado | 285 | | | | | Variável de ambiente PATH criada a partir de fontes controladas pelo usuário | 077, 020 | | | | | Armazenamento de informações confidenciais no artefato do GitHub Actions | 312 | | | | | Exposição de segredo não mascarado | 312 | | | | | TOCTOU de check-out não confiável | 367 | | | | | TOCTOU de check-out não confiável | 367 | | | | | Uso de uma ação vulnerável conhecida | 1,395 | | | | | Fluxo de trabalho não contém permissões | 275 | | | | | Envenenamento de artefato | 829 | | | | | Check-out de código não confiável em um contexto confiável | 829 | | | | | Injeção de código | 094, 095, 116 | | | | | Variável de ambiente criada a partir de fontes controladas pelo usuário | 077, 020 | | | | | Variável de ambiente PATH criada a partir de fontes controladas pelo usuário | 077, 020 | | | | | Marca desafixada para uma ação não imutável no fluxo de trabalho | 829 | | | |