CodeQL enthält viele Abfragen zum Analysieren von GitHub Actions-Workflows. Alle Abfragen in der default Abfragesammlung werden standardmäßig ausgeführt. Wenn Sie sich für die Verwendung der security-extended Abfragesammlung entscheiden, werden zusätzliche Abfragen ausgeführt. Weitere Informationen finden Sie unter CodeQL-Abfragesammlungen.
Integrierte Abfragen für die GitHub Actions-Analyse
In dieser Tabelle sind die Abfragen aufgeführt, die mit der neuesten Version der Aktion CodeQL und CodeQL CLI verfügbar sind. Weitere Informationen finden Sie unter CodeQL-Änderungsprotokollen auf der Dokumentationsseite zu CodeQL.
| Abfragename | Verwandte CWEs | Standard | Erweitert | Copilot Autofix |
|---|
[Artefakt-Poisoning](https://codeql.github.com/codeql-query-help/actions/actions-artifact-poisoning-critical/) | 829 | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Included" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Included" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Included" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> |
| Cache-Poisoning durch Zwischenspeichern von nicht vertrauenswürdigen Dateien | 349 | | | | | Cache-Poisoning durch Ausführung von nicht vertrauenswürdigen Code | 349 | | | | | Cache-Poisoning durch Codeinjizierung mit geringen Rechten | 349, 094 | | | | | Auschecken von nicht vertrauenswürdigem Code in einem privilegierten Kontext | 829 | | | | | Auschecken von nicht vertrauenswürdigem Code im vertrauenswürdigen Kontext | 829 | | | | | Codeeinschleusung | 094, 095, 116 | | | | | Umgebungsvariable, die aus benutzerdefinierten Quellen erstellt wurde | 077, 020 | | | | | Übermäßige Geheimnisoffenlegung | 312 | | | | | Unsachgemäße Zugriffssteuerung | 285 | | | | | PATH-Umgebungsvariable, die aus benutzerdefinierten Quellen erstellt wurde | 077, 020 | | | | | Speichern vertraulicher Informationen im GitHub Actions-Artefakt | 312 | | | | | Unmaskierte Geheimnisoffenlegung | 312 | | | | | Nicht vertrauenswürdiger Check-Out von TOCTOU | 367 | | | | | Nicht vertrauenswürdiger Check-Out von TOCTOU | 367 | | | | | Verwendung einer bekannten anfälligen Aktion | 1,395 | | | | | Workflow enthält keine Berechtigungen | 275 | | | | | Artefakt-Poisoning | 829 | | | | | Auschecken von nicht vertrauenswürdigem Code im vertrauenswürdigen Kontext | 829 | | | | | Codeeinschleusung | 094, 095, 116 | | | | | Umgebungsvariable, die aus benutzerdefinierten Quellen erstellt wurde | 077, 020 | | | | | PATH-Umgebungsvariable, die aus benutzerdefinierten Quellen erstellt wurde | 077, 020 | | | | | Angeheftetes Tag für eine nicht unveränderliche Aktion im Workflow | 829 | | | |