Skip to main content

Запросы Ruby для анализа CodeQL

Изучите запросы, которые CodeQL используются для анализа кода, написанного в Ruby при выборе default или наборе security-extended запросов.

Кто может использовать эту функцию?

Code scanning доступен для всех общедоступных репозиториев на GitHub.com. Code scanning также доступен для частных репозиториев, принадлежащих организациям, использующей GitHub Enterprise Cloud и имеющих лицензию на GitHub Advanced Security. Дополнительные сведения см. в разделе Сведения о GitHub Advanced Security.

CodeQL содержит множество запросов для анализа кода Ruby. Все запросы в наборе default запросов выполняются по умолчанию. Если вы решили использовать security-extended набор запросов, выполняются дополнительные запросы. Дополнительные сведения см. в разделе Наборы запросов CodeQL.

Встроенные запросы для анализа Ruby

В этой таблице перечислены запросы, доступные в последнем выпуске действия CodeQL и CodeQL CLI. Дополнительные сведения см. в разделе CodeQL журналов изменений на сайте документации CodeQL документации.

Note

GitHub Copilot Autofix ограничено оповещениями, определенными CodeQL для частных и внутренних репозиториев. Если у вас есть корпоративная учетная запись и используется GitHub Advanced Security, у вашей организации есть доступ к Copilot Autofix.

Имя запросаСвязанные CWEsПо умолчанию.РасширенноеCopilot Autofix
Неправильная фильтрация HTML116, 020, 185, 186
Неправильно привязанное регулярное выражение020
Ведение журнала конфиденциальной информации с четким текстом312, 359, 532
Хранение конфиденциальной информации с помощью очистки текста312, 359, 532
Внедрение кода094, 095, 116
Защита CSRF не включена352
Защита CSRF ослабла или отключена352
Скачивание зависимостей с помощью незашифрованного канала связи300, 319, 494, 829
Десериализация управляемых пользователем данных502
Скачивание конфиденциального файла через небезопасное подключение829
Неполная очистка нескольких символов020, 080, 116
Неполное регулярное выражение для имен узлов020
Неполное экранирование строк или кодировка020, 080, 116
Неполная очистка подстроки URL-адресов020
Неэффективное регулярное выражение1333, 730, 400
Раскрытие информации с помощью исключения209, 497
Небезопасное назначение массы915
Чрезмерно допустимый диапазон регулярных выражений020
Многономиальное регулярное выражение, используемое для неконтролируемых данных1333, 730, 400
Отражение межсерверного скрипта на стороне сервера079, 116
Внедрение регулярных выражений1333, 730, 400
Чтение конфиденциальных данных из запроса GET598
Подделка запроса на стороне сервера918
SQL-запрос, созданный из управляемых пользователем источников089
Хранение сценариев между сайтами079, 116
Неконтролируемая командная строка078, 088
Неконтролируемые данные, используемые в выражении пути022, 023, 036, 073, 099
Небезопасный HTML-код, созданный из входных данных библиотеки079, 116
Небезопасная команда оболочки, созданная из входных данных библиотеки078, 088, 073
Перенаправление URL-адресов из удаленного источника601
Использование или IO.read аналогичных Kernel.open приемников с неконстантным значением078, 088, 073
Kernel.openИспользование приемников IO.read или аналогичных приемников с пользовательскими входными данными078, 088, 073
Использование сломанного или слабого алгоритма шифрования327
Использование неработающего или слабого алгоритма хэширования криптографических данных в конфиденциальных данных327, 328, 916
Использование строки форматирования с внешним контролем134
Слабая конфигурация файлов cookie732, 1275
Расширение внешней сущности XML611, 776, 827
Жестко закодированные учетные данные259, 321, 798
Жестко закодированные данные, интерпретированные как код506
Внедрение журналов117
Отсутствует привязка регулярного выражения020
Сетевые данные, записанные в файл912, 434
Запрос без проверки сертификата295
Небезопасный код, созданный из входных данных библиотеки094, 079, 116