CodeQL には、GitHub Actions ワークフローを分析するクエリが多数用意されています。 データ再利用可能なコードスキャニング.CodeQLクエリテーブル.クエリスイートの動作 %}
GitHub Actions 分析用の組み込みクエリ
次の表に、最新リリースの CodeQL アクションと CodeQL CLI で使用できるクエリを示します。 詳細については、CodeQL ドキュメントにある CodeQL クエリに関するページを参照してください。
メモ
GitHub Enterprise Server 3.19 の最初のリリースには、CodeQL アクションと CodeQL CLI 2.22.4 が含まれていました。これには、これらのクエリがすべて含まれていない場合があります。 サイト管理者は、CodeQL バージョンを新しいリリースに更新できます。 詳しくは、「アプライアンス用コードスキャンの構成」をご覧ください。
| クエリ名 | 関連する CWE | デフォルト値 | Extended | Copilot Autofix |
|---|
[成果物ポイズニング](https://codeql.github.com/codeql-query-help/actions/actions-artifact-poisoning-critical/) | 829 | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="check icon" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="check icon" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="check icon" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> |
| 信頼されていないファイルのキャッシュによるキャッシュ ポイズニング | 349 | | | | | 信頼されていないコードの実行によるキャッシュ ポイズニング | 349 | | | | | 低特権コード インジェクションによるキャッシュ ポイズニング | 349、094 | | | | | 特権コンテキストでの信頼されていないコードのチェックアウト | 829 | | | | | 信頼されたコンテキストでの信頼されていないコードのチェックアウト | 829 | | | | | コード インジェクション | 094, 095, 116 | | | | | ユーザーが制御するソースから構築された環境変数 | 077、020 | | | | | 過度のシークレットの露出 | 312 | | | | | 不適切なアクセス制御 | 285 | | | | | ユーザーが管理するソースから構築された PATH 環境変数 | 077、020 | | | | | GitHub Actions 成果物内の機密情報の保持 | 312 | | | | | マスクされていないシークレットの露出 | 312 | | | | | 信頼されていないチェックアウト TOCTOU | 367 | | | | | 信頼されていないチェックアウト TOCTOU | 367 | | | | | 既知の脆弱なアクションの使用 | 1,395 | | | | | ワークフローにアクセス許可が含まれていない | 275 | | | | | 成果物ポイズニング | 829 | | | | | 信頼されたコンテキストでの信頼されていないコードのチェックアウト | 829 | | | | | コード インジェクション | 094, 095, 116 | | | | | ユーザーが制御するソースから構築された環境変数 | 077、020 | | | | | ユーザーが管理するソースから構築された PATH 環境変数 | 077、020 | | | | | ワークフロー内の変更不可アクションの固定されていないタグ | 829 | | | |