CodeQL 包含许多用于分析 GitHub Actions 工作流的查询。 默认情况下,default 查询套件中的所有查询都会运行。 如果选择使用 security-extended 查询套件,则会运行其他查询。 有关详细信息,请参阅“CodeQL 查询套件”。
GitHub Actions 分析的内置查询
下表列出了最新版本的 CodeQL 操作和 CodeQL CLI 的可用查询。 有关详细信息,请参阅 CodeQL 文档中的 CodeQL 更改日志。
| 查询名称 | 相关的 CWE | 默认 | 延期 | Copilot自动修复 |
|---|---|---|---|---|
| 工件中毒 | 829 | |||
| 通过缓存不受信任的文件导致缓存中毒 | 349 | |||
| 通过执行不受信任的代码导致缓存中毒 | 349 | |||
| 通过低特权代码注入导致缓存中毒 | 349, 094 | |||
| 在特权上下文中签出不受信任的代码 | 829 | |||
| 在受信任上下文中签出不受信任的代码 | 829 | |||
| 代码注入 | 094、095、116 | |||
| 从用户控制的来源生成的环境变量 | 077, 020 | |||
| 机密暴露过多 | 312 | |||
| 访问控制不当 | 285 | |||
| 从用户控制的来源生成的 PATH 环境变量 | 077, 020 | |||
| 在 GitHub Actions 工件中存储敏感信息 | 312 | |||
| 未屏蔽的机密暴露 | 312 | |||
| 不受信任的签出 TOCTOU | 367 | |||
| 不受信任的签出 TOCTOU | 367 | |||
| 使用已知易受攻击的操作 | 1395 | |||
| 工作流不包含权限 | 275 | |||
| 工件中毒 | 829 | |||
| 在受信任上下文中签出不受信任的代码 | 829 | |||
| 代码注入 | 094、095、116 | |||
| 从用户控制的来源生成的环境变量 | 077, 020 | |||
| 从用户控制的来源生成的 PATH 环境变量 | 077, 020 | |||
| 工作流中非不可变操作的取消固定标记 | 829 |