Skip to main content

Esta versão do GitHub Enterprise Server será descontinuada em 2024-06-29. Nenhum lançamento de patch será feito, mesmo para questões críticas de segurança. Para obter melhor desempenho, segurança aprimorada e novos recursos, atualize para a última versão do GitHub Enterprise Server. Para obter ajuda com a atualização, entre em contato com o suporte do GitHub Enterprise.

Consultas Go para análise CodeQL

Explore as consultas que o CodeQL usa para analisar o código escrito em Go (Golang) quando você seleciona o conjunto de consultas default ou security-extended.

Quem pode usar esse recurso?

A Code scanning está disponível para os repositórios pertencentes à organização do GitHub Enterprise Server. Esse recurso exige uma licença do GitHub Advanced Security. Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub".

O CodeQL inclui muitas consultas para analisar o código Go. Todas as consultas no conjunto de consultas default são executadas por padrão. Se você optar por usar o conjunto de consultas security-extended, consultas adicionais serão executadas. Para obter mais informações, confira "Conjuntos de consultas CodeQL".

Consultas internas para análise Go

Esta tabela lista as consultas disponíveis com a versão mais recente da ação CodeQL e CodeQL CLI. Para obter mais informações, consulte Logs de alterações do CodeQL no site de documentação do CodeQL .

Observação: a versão inicial do GitHub Enterprise Server 3.9 incluía a ação CodeQL e CodeQL CLI 2.12.7, que pode não incluir todas essas consultas. O administrador do site pode atualizar sua versão do CodeQL para uma versão mais recente. Para obter mais informações, confira "Como configurar a verificação de código do seu dispositivo".

Nome da consultaCWEs relacionadosPadrãoEstendidoCorreção automática
Acesso arbitrário a arquivos durante a extração de arquivos ("Zip Slip")022
Gravação arbitrária de arquivo extraindo um arquivo que contém links simbólicos022
Verificação de redirecionamento incorreta601
Registro em log de texto não criptografado de informações confidenciais312, 315, 359
Comando criado com base em fontes controladas pelo usuário078
Consulta de banco de dados criada com base em fontes controladas pelo usuário089
Verificação de certificado TLS desabilitada295
Injeção de conteúdo de email640
Expressão regular incompleta para nomes de host20
Verificação de esquema de URL incompleto020
Conversão incorreta entre tipos inteiros190, 681
Exposição de informações por meio de um rastreamento de pilha209, 497
Configuração TLS não segura327
Verificação de assinatura JWT ausente347
Âncora de expressão regular ausente20
Abrir URL de redirecionamento601
Cotação potencialmente não segura078, 089, 094
Cross-site scripting refletido079, 116
O cálculo de tamanho para alocação pode estourar190
Alocação de memória em fatia com valor de tamanho excessivo770
Caracteres suspeitos em uma expressão regular20
Dados não controlados usados na solicitação de rede918
Dados não controlados usados na expressão de caminho022, 023, 036, 073, 099
Uso de uma chave criptográfica fraca326
Uso de valor constante state na URL do OAuth 2.0352
Uso da implementação não segura do HostKeyCallback322
Uso de aleatoriedade insuficiente como chave de um algoritmo criptográfico338
Injeção de XPath643
Credenciais codificadas259, 321, 798
Entradas de log criadas com base na entrada do usuário117