Requêtes GitHub Actions pour l’analyse CodeQL

Explorez les requêtes utilisées par CodeQL pour analyser les flux de travail utilisés par GitHub Actions lorsque vous sélectionnez la suite de requêtes default ou security-extended.

Qui peut utiliser cette fonctionnalité ?

CodeQL est disponible pour les types de référentiels suivants :

Référentiels publics sur GitHub.com, consultez conditions générales de CodeQL GitHub
Référentiels appartenant à l’organisation sur GitHub Team ou GitHub Enterprise Cloud avec GitHub Code Security activé

CodeQL comprend de nombreuses requêtes pour analyser les flux de travail utilisés par GitHub Actions. Toutes les requêtes de la suite de requêtes default sont exécutées par défaut. Si vous choisissez d’utiliser la suite de requêtes security-extended, des requêtes supplémentaires sont exécutées. Pour plus d’informations, consultez « Suites de requêtes CodeQL ».

Requêtes intégrées pour l’analyse de flux de travail

Ce tableau répertorie les requêtes disponibles avec la dernière version de l’action CodeQL et CodeQL CLI. Pour plus d’informations, consultez les journaux des modifications CodeQL dans le site de documentation de CodeQL.

Nom de la requête	CWE connexes	Par défaut	Étendu	Copilot Autofix
Empoisonnement des artefacts	829
Empoisonnement du cache via la mise en cache de fichiers non approuvés	349
Empoisonnement du cache via l’exécution de code non approuvé	349
Empoisonnement du cache via l’injection de code à faible privilège	349, 094
Basculement sur du code non approuvé dans un contexte privilégié	829
Basculement sur du code non approuvé dans un contexte approuvé	829
Injection de code	094, 095, 116
Variable d’environnement créée à partir de sources contrôlées par l’utilisateur	077, 020
Exposition excessive de secrets	312
Contrôle d’accès incorrect	285
Variable d’environnement PATH créée à partir de sources contrôlées par l’utilisateur	077, 020
Stockage d’informations sensibles dans l’artefact GitHub Actions	312
Exposition non masquée de secrets	312
Basculement non fiable TOCTOU	367
Basculement non fiable TOCTOU	367
Utilisation d’une action vulnérable connue	1,395
Le flux de travail ne contient pas d’autorisations	275
Empoisonnement des artefacts	829
Basculement sur du code non approuvé dans un contexte approuvé	829
Injection de code	094, 095, 116
Variable d’environnement créée à partir de sources contrôlées par l’utilisateur	077, 020
Variable d’environnement PATH créée à partir de sources contrôlées par l’utilisateur	077, 020
Balise non épinglée pour une action non immuable dans le flux de travail	829