Go-Abfragen für die CodeQL-Analyse

Erkunden Sie die Abfragen, die CodeQL zum Analysieren von Code verwendet, der in Go (Golang) geschrieben wurde, wenn Sie die Abfragesammlung default oder security-extended auswählen.

Wer kann dieses Feature verwenden?

CodeQL ist für die folgenden Repositorytypen verfügbar:

CodeQL enthält viele Abfragen zum Analysieren von Go-Code. Alle Abfragen in der default Abfragesammlung werden standardmäßig ausgeführt. Wenn Sie sich für die Verwendung der security-extended Abfragesammlung entscheiden, werden zusätzliche Abfragen ausgeführt. Weitere Informationen finden Sie unter CodeQL-Abfragesammlungen.

Integrierte Abfragen für die Go-Analyse

In dieser Tabelle sind die Abfragen aufgeführt, die mit der neuesten Version der Aktion CodeQL und CodeQL CLI verfügbar sind. Weitere Informationen finden Sie unter CodeQL-Änderungsprotokollen auf der Dokumentationsseite zu CodeQL.

Hinweis

Das erste Release von GitHub Enterprise Server 3.17 enthielt CodeQL-Aktion und CodeQL CLI 2.20.7, die möglicherweise nicht alle diese Abfragen enthalten. Ihr Website-Administrator kann Ihre CodeQL-Version auf eine neuere Version aktualisieren. Weitere Informationen finden Sie unter Konfigurieren der Codeüberprüfung für Ihre Anwendung.

AbfragenameVerwandte CWEsStandardErweitertCopilot Autofix
          [Beliebiger Dateizugriff während der Archivextraktion („Zip Slip“)](https://codeql.github.com/codeql-query-help/go/go-zipslip/) | 022 | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Eingeschlossen" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Included" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Included" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> |

| Beliebiger Dateischreibvorgang zum Extrahieren eines Archivs mit symbolischen Verknüpfungen | 022 | | | | | Ungültige Umleitungsprüfung | 601 | | | | | Protokollierung von Klartext vertraulicher Informationen | 312, 315, 359 | | | | | Aus benutzerdefinierten Quellen erstellter Befehl | 078 | | | | | Das Cookie "HttpOnly"-Attribut ist nicht auf "true" festgelegt. | 1004 | | | | | Das Cookie-Attribut "Secure" ist nicht auf "true" festgelegt. | 614 | | | | | Cross-Site Scripting durch Umgehung mit HTML-Vorlagenescaping | 079, 116 | | | | | Datenbankabfrage, die aus benutzerdefinierten Quellen erstellt wurde | 089 | | | | | Deaktivierte TLS-Zertifikatsüberprüfung | 295 | | | | | Einspeisung von E-Mail-Inhalten | 640 | | | | | Unvollständiger regulärer Ausdruck für Hostnamen | 020 | | | | | Unvollständige URL-Schemaüberprüfung | 020 | | | | | Falsche Konvertierung zwischen ganzzahligen Typen | 190, 681 | | | | | Gefährdung von Informationen über eine Stapelüberwachung | 209, 497 | | | | | Unsichere TLS-Konfiguration | 327 | | | | | Fehlende JWT-Signaturprüfung | 347 | | | | | Fehlender Anchor des regulären Ausdrucks | 020 | | | | | Öffnen der Umleitungs-URL | 601 | | | | | Potenziell unsichere Quoten | 078, 089, 094 | | | | | Reflektiertes Cross-Site Scripting | 079, 116 | | | | | Die Größenberechnung für die Zuweisung kann überlaufen | 190 | | | | | Slice-Speicherzuordnung mit übermäßigem Größenwert | 770 | | | | | Verdächtige Zeichen in einem regulären Ausdruck | 020 | | | | | Nicht kontrollierte Daten, die in der Netzwerkanforderung verwendet werden | 918 | | | | | Nicht kontrollierte Daten, die im Pfadausdruck verwendet werden | 022, 023, 036, 073, 099 | | | | | Verwendung eines fehlerhaften oder schwachen Kryptografiealgorithmus | 327, 328 | | | | | Verwendung eines fehlerhaften oder schwachen kryptografischen Hashalgorithmus für vertrauliche Daten | 327, 328, 916 | | | | | Verwendung eines schwachen Kryptografieschlüssels | 326 | | | | | Verwenden des konstanten state-Werts in der OAuth 2.0-URL | 352 | | | | | Verwendung der unsicheren HostKeyCallback-Implementierung | 322 | | | | | Verwendung unzureichender Zufallszahlen als Schlüssel eines Kryptografiealgorithmus | 338 | | | | | XPath-Einspeisung | 643 | | | | | Protokolleinträge, die anhand der Benutzereingabe erstellt wurden | 117 | | | |