Consultas de Acciones de GitHub para el análisis de CodeQL

Explore las consultas que CodeQL usa para analizar el código escrito en archivos de flujo de trabajo de GitHub Actions al seleccionar default o el conjunto de consultas security-extended.

¿Quién puede utilizar esta característica?

CodeQL está disponible para los siguientes tipos de repositorios:

CodeQL incluye muchas consultas para analizar flujos de trabajo de GitHub Actions.

Consultas integradas para el análisis de GitHub Actions

Nombre de la consultaCWE relacionadosValor predeterminadoAmpliadoAutofijo de Copilot
          [Intoxicación de artefactos](https://codeql.github.com/codeql-query-help/actions/actions-artifact-poisoning-critical/) | 829 | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Incluido" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Incluido" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Incluido" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> |

| Intoxicación de caché mediante el almacenamiento en caché de archivos que no son de confianza | 349 | | | | | Intoxicación de caché a través de la ejecución de código que no es de confianza | 349 | | | | | Intoxicación de caché a través de la inserción de código con pocos privilegios | 349, 094 | | | | | Hacer checkout de código que no es de confianza en un contexto con privilegios | 829 | | | | | Hacer checkout de código que no es de confianza en el contexto de confianza | 829 | | | | | Inyección de código | 094, 095, 116 | | | | | Variable de entorno creada a partir de orígenes controlados por el usuario | 077, 020 | | | | | Exposición excesiva de secretos | 312 | | | | | Control de acceso incorrecto | 285 | | | | | Variable de entorno PATH creada a partir de orígenes controlados por el usuario | 077, 020 | | | | | Almacenamiento de información confidencial en el artefacto de GitHub Actions | 312 | | | | | Exposición secreta sin máscara | 312 | | | | | Hacer checkout de TOCTOU que no es de confianza | 367 | | | | | Hacer checkout de TOCTOU que no es de confianza | 367 | | | | | Uso de una acción vulnerable conocida | 1,395 | | | | | El flujo de trabajo no contiene permisos | 275 | | | | | Intoxicación de artefactos | 829 | | | | | Hacer checkout de código que no es de confianza en el contexto de confianza | 829 | | | | | Inyección de código | 094, 095, 116 | | | | | Variable de entorno creada a partir de orígenes controlados por el usuario | 077, 020 | | | | | Variable de entorno PATH creada a partir de orígenes controlados por el usuario | 077, 020 | | | | | Etiqueta no anclada para una acción no inmutable en el flujo de trabajo | 829 | | | |