Python-Abfragen für die CodeQL-Analyse

Erkunden Sie die Abfragen, die CodeQL zum Analysieren von Code verwendet, der in Python geschrieben wurde, wenn Sie die Abfragesammlung default oder security-extended auswählen.

Wer kann dieses Feature verwenden?

Code scanning ist für alle öffentlichen Repositorys auf GitHub.com verfügbar. Code scanning ist auch für private organisationseigene Repositorys verfügbar, die GitHub Enterprise Cloud nutzen und im Besitz einer Lizenz für GitHub Advanced Security sind. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

CodeQL enthält viele Abfragen zum Analysieren von Python-Code. Alle Abfragen in der default Abfragesammlung werden standardmäßig ausgeführt. Wenn Sie sich für die Verwendung der security-extended Abfragesammlung entscheiden, werden zusätzliche Abfragen ausgeführt. Weitere Informationen findest du unter CodeQL-Abfragesammlungen.

Integrierte Abfragen für die Python-Analyse

In dieser Tabelle sind die Abfragen aufgeführt, die mit der neuesten Version der Aktion CodeQL und CodeQL CLI verfügbar sind. Weitere Informationen finden Sie unter CodeQL-Änderungsprotokollen auf der Dokumentationsseite zu CodeQL.

Hinweis: Die automatische Korrektur von GitHub für code scanning befindet sich in der Betaversion. Funktionalität und Dokumentation können Änderungen unterliegen. In dieser Phase ist das Feature auf die von CodeQL erkannten JavaScript-, TypeScript-, Python und Java-Warnungen beschränkt. Wenn Sie ein Unternehmenskonto haben und GitHub Advanced Security verwenden, hat Ihr Unternehmen Zugang zur Beta-Version.

AbfragenameVerwandte CWEsStandardErweitertAutofix
Annehmen unbekannter SSH-Hostschlüssel bei Verwendung von Paramiko295
Ungültige HTML-Filterung regexp116, 020, 185, 186
Bindung eines Sockets an alle Netzwerkschnittstellen200
Protokollierung von Klartext vertraulicher Informationen312, 359, 532
Speicherung von Klartext vertraulicher Informationen312, 315, 359
Codeeinschleusung094, 095, 116
CSRF-Schutz geschwächt oder deaktiviert352
Die Standardversion von SSL/TLS ist möglicherweise unsicher.327
Deserialisierung benutzergesteuerter Daten502
Flask-App wird im Debugmodus ausgeführt215, 489
Vollständig serverseitige Anforderungsfälschung918
Unvollständiger regulärer Ausdruck für Hostnamen020
Unvollständige URL-Substring-Bereinigung20
Ineffizienter regulärer Ausdruck1333, 730, 400
Gefährdung von Informationen über eine Ausnahme209, 497
Unsichere temporäre Datei377
LDAP-Abfrage, die aus benutzerdefinierten Quellen erstellt wurde090
Einschleusung von NoSQL943
Übermäßig zulässiger regulärer Ausdrucksbereich020
PAM-Autorisierungsüberbrückung aufgrund einer falschen Verwendung285
Polynomischer regulärer Ausdruck, der für unkontrollierte Daten verwendet wird1333, 730, 400
Reflektiertes serverseitiges Cross-Site Scripting079, 116
Einspeisung regulärer Ausdrücke730, 400
SQL-Abfrage, die aus benutzerdefinierten Quellen erstellt wurde089
Nicht gesteuerte Befehlszeile078, 088
Nicht kontrollierte Daten, die im Pfadausdruck verwendet werden022, 023, 036, 073, 099
URL-Umleitung von Remote-Quelle601
Verwendung eines fehlerhaften oder schwachen Kryptografiealgorithmus327
Verwendung eines fehlerhaften oder schwachen kryptografischen Hashalgorithmus für vertrauliche Daten327, 328, 916
Verwendung unsicherer SSL/TLS-Version327
Verwendung eines schwachen Kryptografieschlüssels326
Erweiterung der externen XML-Entität611, 827
Erweiterung der internen XML-Entität776, 400
XPath-Abfrage, die aus benutzerdefinierten Quellen erstellt wurde643
Beliebiger Dateischreibvorgang während der Tarfile-Extraktion022
Hartcodierte Anmeldedaten259, 321, 798
Jinja2-Vorlagen mit autoescape=False079
Protokolleinspeisung117
Übermäßig tolerante Dateiberechtigungen732
Teilweise serverseitige Anforderungsfälschung918
Anforderung ohne Zertifikatsüberprüfung295
Unsicherer Shell-Befehl, der aus Bibliothekseingaben erstellt wurde078, 088, 073