Запросы Ruby для анализа CodeQL

Изучите запросы, которые CodeQL используются для анализа кода, написанного в Ruby при выборе default или наборе security-extended запросов.

Кто может использовать эту функцию?

Code scanning доступен для репозиториев, принадлежащих организации, в GitHub Enterprise Server. Для этой функции требуется лицензия на GitHub Advanced Security. Дополнительные сведения см. в разделе Сведения о GitHub Advanced Security.

CodeQL содержит множество запросов для анализа кода Ruby. Все запросы в наборе default запросов выполняются по умолчанию. Если вы решили использовать security-extended набор запросов, выполняются дополнительные запросы. Дополнительные сведения см. в разделе Наборы запросов CodeQL.

Встроенные запросы для анализа Ruby

В этой таблице перечислены запросы, доступные в последнем выпуске действия CodeQL и CodeQL CLI. Дополнительные сведения см. в разделе CodeQL журналов изменений на сайте документации CodeQL документации.

Примечание. Первоначальный выпуск GitHub Enterprise Server 3.13 включал действие CodeQL и CodeQL CLI 2.16.5, которые могут не включать все эти запросы. Администратор сайта может обновить версию CodeQL до более новой версии. Дополнительные сведения см. в разделе Настройка сканирования кода для устройства.

Имя запросаСвязанные CWEsПо умолчанию.РасширенноеАвтофикс
Неправильная фильтрация HTML116, 020, 185, 186
Неправильно привязанное регулярное выражение020
Ведение журнала конфиденциальной информации с четким текстом312, 359, 532
Хранение конфиденциальной информации с помощью очистки текста312, 359, 532
Внедрение кода094, 095, 116
Защита CSRF не включена352
Защита CSRF ослабла или отключена352
Скачивание зависимостей с помощью незашифрованного канала связи300, 319, 494, 829
Десериализация управляемых пользователем данных502
Скачивание конфиденциального файла через небезопасное подключение829
Неполная очистка нескольких символов020, 080, 116
Неполное регулярное выражение для имен узлов020
Неполное экранирование строк или кодировка020, 080, 116
Неполная очистка подстроки URL-адресов020
Неэффективное регулярное выражение1333, 730, 400
Раскрытие информации с помощью исключения209, 497
Небезопасное назначение массы915
Чрезмерно допустимый диапазон регулярных выражений020
Многономиальное регулярное выражение, используемое для неконтролируемых данных1333, 730, 400
Отражение межсерверного скрипта на стороне сервера079, 116
Внедрение регулярных выражений1333, 730, 400
Чтение конфиденциальных данных из запроса GET598
Подделка запроса на стороне сервера918
SQL-запрос, созданный из управляемых пользователем источников089
Хранение сценариев между сайтами079, 116
Неконтролируемая командная строка078, 088
Неконтролируемые данные, используемые в выражении пути022, 023, 036, 073, 099
Небезопасный HTML-код, созданный из входных данных библиотеки079, 116
Небезопасная команда оболочки, созданная из входных данных библиотеки078, 088, 073
Перенаправление URL-адресов из удаленного источника601
Использование или IO.read аналогичных Kernel.open приемников с неконстантным значением078, 088, 073
Kernel.openИспользование приемников IO.read или аналогичных приемников с пользовательскими входными данными078, 088, 073
Использование сломанного или слабого алгоритма шифрования327
Использование строки форматирования с внешним контролем134
Слабая конфигурация файлов cookie732, 1275
Расширение внешней сущности XML611, 776, 827
Жестко закодированные учетные данные259, 321, 798
Жестко закодированные данные, интерпретированные как код506
Внедрение журналов117
Отсутствует привязка регулярного выражения020
Сетевые данные, записанные в файл912, 434
Запрос без проверки сертификата295
Небезопасный код, созданный из входных данных библиотеки094, 079, 116