Запросы Python для анализа CodeQL

Изучите запросы, которые CodeQL используются для анализа кода, написанного на Python при выборе default или наборе security-extended запросов.

Кто может использовать эту функцию?

Code scanning доступен для всех общедоступных репозиториев на GitHub.com. Чтобы использовать code scanning в частном репозитории, принадлежащем организации, необходима лицензия на GitHub Advanced Security. Дополнительные сведения см. в разделе Сведения о GitHub Advanced Security.

CodeQL содержит множество запросов для анализа кода Python. Все запросы в наборе default запросов выполняются по умолчанию. Если вы решили использовать security-extended набор запросов, выполняются дополнительные запросы. Дополнительные сведения см. в разделе Наборы запросов CodeQL.

Встроенные запросы для анализа Python

В этой таблице перечислены запросы, доступные в последнем выпуске действия CodeQL и CodeQL CLI. Дополнительные сведения см. в разделе CodeQL журналов изменений на сайте документации CodeQL документации.

Note

Автофикс GitHub для code scanning находится в бета-версии. Функциональные возможности и документация могут быть изменены. На этом этапе функция ограничена оповещениями, определенными CodeQL для частных и внутренних репозиториев. Если у вас есть корпоративная учетная запись и используется GitHub Advanced Security, у вашей организации есть доступ к бета-версии.

Имя запросаСвязанные CWEsПо умолчанию.РасширенноеАвтофикс
Принятие неизвестных ключей узла SSH при использовании Paramiko295
Неправильная фильтрация HTML116, 020, 185, 186
Привязка сокета ко всем сетевым интерфейсам200
Ведение журнала конфиденциальной информации с четким текстом312, 359, 532
Хранение конфиденциальной информации с помощью очистки текста312, 315, 359
Внедрение кода094, 095, 116
Защита CSRF ослабла или отключена352
Версия SSL/TLS по умолчанию может быть небезопасной327
Десериализация управляемых пользователем данных502
Приложение Flask выполняется в режиме отладки215, 489
Полная подделка запросов на стороне сервера918
Разделение ответа HTTP113, 079
Неполное регулярное выражение для имен узлов020
Неполная очистка подстроки URL-адресов20
Неэффективное регулярное выражение1333, 730, 400
Раскрытие информации с помощью исключения209, 497
Небезопасный временный файл377
Запрос LDAP, созданный из управляемых пользователем источников090
Внедрение NoSQL943
Чрезмерно допустимый диапазон регулярных выражений020
Обход авторизации PAM из-за неправильного использования285
Многономиальное регулярное выражение, используемое для неконтролируемых данных1333, 730, 400
Отражение межсерверного скрипта на стороне сервера079, 116
Внедрение регулярных выражений730, 400
SQL-запрос, созданный из управляемых пользователем источников089
Неконтролируемая командная строка078, 088
Неконтролируемые данные, используемые в выражении пути022, 023, 036, 073, 099
Перенаправление URL-адресов из удаленного источника601
Использование сломанного или слабого алгоритма шифрования327
Использование неработающего или слабого алгоритма хэширования криптографических данных в конфиденциальных данных327, 328, 916
Использование небезопасной версии SSL/TLS327
Использование слабого криптографического ключа326
Расширение внешней сущности XML611, 827
Расширение внутренних сущностей XML776, 400
Запрос XPath, созданный из управляемых пользователем источников643
Произвольное запись файла во время извлечения tarfile022
Жестко закодированные учетные данные259, 321, 798
Настройка шаблонов Jinja2 с помощью autoescape=False079
Внедрение журнала117
Чрезмерные разрешения файлов732
Частичное копирование запросов на стороне сервера918
Запрос без проверки сертификата295
Небезопасная команда оболочки, созданная из входных данных библиотеки078, 088, 073