Skip to main content

このバージョンの GitHub Enterprise サーバーはこの日付をもって終了となりました: 2024-09-25. 重大なセキュリティの問題に対してであっても、パッチリリースは作成されません。 パフォーマンスの向上、セキュリティの向上、新機能の向上を図るために、最新バージョンの GitHub Enterprise サーバーにアップグレードしてください。 アップグレードに関するヘルプについては、GitHub Enterprise サポートにお問い合わせください

CodeQL 分析のための Ruby クエリ

default または security-extended クエリ スイートを選択時、CodeQL が Ruby のコード分析に使用するクエリについて詳しく見てみましょう。

この機能を使用できるユーザーについて

CodeQL は、次の種類のリポジトリで使用できます:

CodeQL には、Ruby コードを分析するためのクエリが多数含まれています。 default クエリ スイート内のすべてのクエリは、既定で実行されます。 security-extended クエリ スイートを使用する場合は、追加のクエリが実行されます。 詳しくは、「CodeQL クエリ スイート」を参照してください。

Ruby 分析用の組み込みクエリ

次の表に、最新リリースの CodeQL アクションと CodeQL CLI で使用できるクエリを示します。 詳細については、CodeQL ドキュメントにある CodeQL クエリに関するページを参照してください。

Note

GitHub Enterprise Server 3.10 の最初のリリースには、CodeQL アクションと CodeQL CLI 2.13.5 が含まれていました。これには、これらのクエリがすべて含まれていない場合があります。 サイト管理者は、CodeQL バージョンを新しいリリースに更新できます。 詳しくは、「アプライアンス用コードスキャンの構成」を参照してください。

クエリ名関連する CWEデフォルト値ExtendedCopilot Autofix
不正な HTML フィルタリング正規表現116, 020, 185, 186
不適切にアンカーで固定された正規表現020
機密情報のクリア テキスト ログ312, 359, 532
機密情報のクリア テキスト ストレージ312, 359, 532
コード インジェクション094, 095, 116
CSRF保護が有効になっていません352
CSRF 保護の弱化または無効化352
暗号化されていない通信チャネルを使用した依存関係のダウンロード300, 319, 494, 829
ユーザーが制御するデータの逆シリアル化502
安全でない接続を介した機密ファイルのダウンロード829
不完全な複数文字のサニタイズ020, 080, 116
ホスト名の不完全な正規表現020
不完全な文字列エスケープまたはエンコード020, 080, 116
不完全な URL 部分文字列のサニタイズ020
非効率的な正規表現1333, 730, 400
例外による情報の露出209, 497
安全でない一括割り当て915
正規表現の範囲が許容範囲が広すぎる020
制御されないデータで使用される多項式正規表現1333, 730, 400
リフレクトサーバー側クロスサイト スクリプティング079, 116
正規表現インジェクション1333, 730, 400
GET 要求から読み取られた機密データ598
サーバー側リクエスト フォージェリ918
ユーザーが制御するソースから構築された SQL クエリ089
保存されたクロスサイト スクリプティング079, 116
制御されないコマンド ライン078, 088
パス式で使用される制御されないデータ022, 023, 036, 073, 099
ライブラリ入力から構築された安全でない HTML079, 116
ライブラリ入力から構築された安全でないシェル コマンド078, 088, 073
リモート ソースからの URL リダイレクト601
Kernel.openIO.read、または非定数値を持つ同様のシンクの使用078, 088, 073
ユーザーが制御する入力での Kernel.openIO.read、または類似のシンクの使用078, 088, 073
壊れた暗号アルゴリズムまたは脆弱な暗号アルゴリズムの使用327
機密データに対する破損または脆弱な暗号化ハッシュ アルゴリズムの使用327, 328, 916
外部から制御可能な書式指定文字列の使用134
弱い Cookie の構成732, 1275
XML 外部エンティティの拡張611, 776, 827
ハードコーディングされた認証情報259, 321, 798
コードとして解釈されるハードコーディングされたデータ506
ログ インジェクション117
正規表現アンカーがない020
ファイルに書き込まれたネットワーク データ912, 434
証明書の検証を行わないリクエスト295
ライブラリ入力から構築された安全でないコード094, 079, 116