Запросы go для анализа CodeQL

Изучите запросы, которые CodeQL используются для анализа кода, написанного в Go (Golang) при выборе default security-extended или наборе запросов.

Кто может использовать эту функцию?

Code scanning доступен для всех общедоступных репозиториев на GitHub.com. Чтобы использовать code scanning в частном репозитории, принадлежащем организации, необходима лицензия на GitHub Advanced Security. Дополнительные сведения см. в разделе Сведения о GitHub Advanced Security.

CodeQL содержит множество запросов для анализа кода Go. Все запросы в наборе default запросов выполняются по умолчанию. Если вы решили использовать security-extended набор запросов, выполняются дополнительные запросы. Дополнительные сведения см. в разделе Наборы запросов CodeQL.

Встроенные запросы для анализа Go

В этой таблице перечислены запросы, доступные в последнем выпуске действия CodeQL и CodeQL CLI. Дополнительные сведения см. в разделе CodeQL журналов изменений на сайте документации CodeQL документации.

Note

Автофикс GitHub для code scanning находится в бета-версии. Функциональные возможности и документация могут быть изменены. На этом этапе функция ограничена оповещениями, определенными CodeQL для частных и внутренних репозиториев. Если у вас есть корпоративная учетная запись и используется GitHub Advanced Security, у вашей организации есть доступ к бета-версии.

Имя запроса	Связанные CWEs	По умолчанию.	Расширенное	Автофикс
Произвольный доступ к файлам во время извлечения архива (Zip Slip)	022
Произвольное запись файла, извлекающее архив, содержащий символьные ссылки	022
Проверка неправильного перенаправления	601
Ведение журнала конфиденциальной информации с четким текстом	312, 315, 359
Команда, созданная из управляемых пользователем источников	078
Запрос базы данных, созданный из управляемых пользователем источников	089
Отключенная проверка сертификата TLS	295
Внедрение содержимого электронной почты	640
Неполное регулярное выражение для имен узлов	20
Неполная проверка схемы URL-адресов	020
Неправильное преобразование между целыми типами	190, 681
Раскрытие информации с помощью трассировки стека	209, 497
Небезопасная конфигурация TLS	327
Отсутствует проверка подписи JWT	347
Отсутствует привязка регулярного выражения	20
Открытие перенаправления URL-адресов	601
Потенциально небезопасный кавык	078, 089, 094
Отражение межстранитовых сценариев	079, 116
Вычисление размера для выделения может переполнение	190
Выделение памяти с чрезмерным размером	770
Подозрительные символы в регулярном выражении	20
Неконтролируемые данные, используемые в сетевом запросе	918
Неконтролируемые данные, используемые в выражении пути	022, 023, 036, 073, 099
Использование слабого криптографического ключа	326
Использование константного `state` значения в URL-адресе OAuth 2.0	352
Использование небезопасной реализации HostKeyCallback	322
Использование недостаточной случайности в качестве ключа криптографического алгоритма	338
Внедрение XPath	643
Жестко закодированные учетные данные	259, 321, 798
Записи журнала, созданные из ввода пользователем	117