Skip to main content

CodeQL 分析用の C# クエリ

default または security-extended クエリ スイートを選択時、CodeQL が C# のコード分析に使用するクエリについて詳しく見てみましょう。

この機能を使用できるユーザーについて

Code scanning は、GitHub Enterprise Server の Organization 所有のリポジトリで利用できます。 この機能には、GitHub Advanced Security のライセンスが必要です。 詳しくは、「GitHub Advanced Security について」を参照してください。

CodeQL には、C# コードを分析するためのクエリが多数含まれています。 default クエリ スイート内のすべてのクエリは、既定で実行されます。 security-extended クエリ スイートを使用する場合は、追加のクエリが実行されます。 詳しくは、「CodeQL クエリ スイート」を参照してください。

C# 分析用の組み込みクエリ

次の表に、最新リリースの CodeQL アクションと CodeQL CLI で使用できるクエリを示します。 詳細については、CodeQL ドキュメントにある CodeQL クエリに関するページを参照してください。

注: GitHub Enterprise Server 3.10 の最初のリリースには、CodeQL アクションと CodeQL CLI 2.13.5 が含まれていました。これには、これらのクエリがすべて含まれていない場合があります。 サイト管理者は、CodeQL バージョンを新しいリリースに更新できます。 詳しくは、「アプライアンス用コードスキャンの構成」を参照してください。

クエリ名関連する CWEデフォルト値ExtendedAutofix
'requireSSL' 属性が true に設定されていない319, 614
アーカイブ抽出中の任意のファイル アクセス ("Zip Slip")022
構成ファイル ASP.NET ディレクトリ参照を有効にする548
アセンブリ パス インジェクション114
機密情報のクリア テキスト ストレージ312, 315, 359
Cookie のセキュリティ: 過度に広範なドメイン287
Cookie のセキュリティ: 過度に広範なパス287
Cookie のセキュリティ: 永続的な Cookie539
ASP.NET デバッグ バイナリを作成すると、機密情報が表示される場合あり11, 532
クロスサイト スクリプティング079, 116
ユーザー入力と高価な正規表現の比較からのサービス拒否1333, 730, 400
信頼されていないデータの逆シリアル化502
逆シリアル化されたデリゲート502
ECB を使用した暗号化327
個人情報の露出359
セッションを破棄できない384
ヘッダーチェックが無効113
コード生成の不適切な制御094, 095, 096
例外による情報の露出209, 497
送信されたデータを介した情報の露出201
安全でないランダム性338
ユーザーが制御するソースから構築された LDAP クエリ090
ユーザー入力から作成されたログ エントリ117
クロスサイト リクエスト フォージェリ トークンの検証がない352
グローバル エラー ハンドラーがない12, 248
X-Frame-Options HTTP ヘッダーがない451, 829
ページ要求の妥当性確認が無効になっている16
正規表現インジェクション730, 400
リソースのインジェクション099
ユーザーが制御するソースから構築された SQL クエリ089
制御されないコマンド ライン078, 088
パス式で使用される制御されないデータ022, 023, 036, 073, 099
制御されないフォーマット文字列134
信頼できない XML は安全に読み取られない611, 827, 776
未検証のローカル ポインターの算術演算119, 120, 122, 788
リモート ソースからの URL リダイレクト601
機密性の高いメソッドのユーザーが制御するバイパス807, 247, 350
弱い暗号化327
弱い暗号化: 不適切な RSA パディング327, 780
弱い暗号化: キー サイズが不十分326
SQL インジェクション091
XPath インジェクション643
構成ファイルの空のパスワード258, 862
認証情報を使用してハードコーディングされた接続文字列259, 321, 798
ハードコーディングされた認証情報259, 321, 798
安全でない直接オブジェクト参照639
セキュリティで保護されていない SQL 接続327
機能レベルのアクセス制御がない285, 284, 862
XML 検証がない112
構成ファイルのパスワード13, 256, 313
シリアル化チェックバイパス20
ICryptoTransform オブジェクトのスレッドで安全でないキャプチャ362
静的 ICryptoTransform フィールドのスレッド セーフでない使用362
ファイルアップロードの使用434
値のシャドウ処理348
値のシャドウ処理: サーバー変数348