Skip to main content

Ruby-Abfragen für die CodeQL-Analyse

Erkunden Sie die Abfragen, die CodeQL zum Analysieren von Code verwendet, der in Ruby geschrieben wurde, wenn Sie die Abfragesammlung default oder security-extended auswählen.

Wer kann dieses Feature verwenden?

Code scanning ist für alle öffentlichen Repositorys auf GitHub.com verfügbar. Zur Verwendung von code scanning in einem privaten organisationseigenen Repository musst du über eine Lizenz für GitHub Advanced Security verfügen. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

CodeQL enthält viele Abfragen zum Analysieren von Ruby-Code. Alle Abfragen in der default Abfragesammlung werden standardmäßig ausgeführt. Wenn Sie sich für die Verwendung der security-extended Abfragesammlung entscheiden, werden zusätzliche Abfragen ausgeführt. Weitere Informationen findest du unter CodeQL-Abfragesammlungen.

Integrierte Abfragen für die Ruby-Analyse

In dieser Tabelle sind die Abfragen aufgeführt, die mit der neuesten Version der Aktion CodeQL und CodeQL CLI verfügbar sind. Weitere Informationen finden Sie unter CodeQL-Änderungsprotokollen auf der Dokumentationsseite zu CodeQL.

Note

GitHub Copilot Autofix ist auf Warnungen beschränkt, die von CodeQL für private und interne Repositorys identifiziert wurden. Wenn Sie über ein Enterprise-Konto verfügen und GitHub Advanced Security nutzen, hat Ihr Unternehmen Zugriff auf Copilot Autofix.

AbfragenameVerwandte CWEsStandardErweitertCopilot Autofix
Ungültige HTML-Filterung regexp116, 020, 185, 186
Falsch verankerter regulärer Ausdruck020
Protokollierung von Klartext vertraulicher Informationen312, 359, 532
Speicherung von Klartext vertraulicher Informationen312, 359, 532
Codeeinschleusung094, 095, 116
CSRF-Schutz nicht aktiviert352
CSRF-Schutz geschwächt oder deaktiviert352
Abhängigkeitsdownload mit unverschlüsseltem Kommunikationskanal300, 319, 494, 829
Deserialisierung benutzergesteuerter Daten502
Herunterladen vertraulicher Dateien über unsichere Verbindung829
Unvollständige Mehrzeichen-Bereinigung020, 080, 116
Unvollständiger regulärer Ausdruck für Hostnamen020
Unvollständiges Zeichenketten-Escaping oder -Codierung020, 080, 116
Unvollständige URL-Substring-Bereinigung020
Ineffizienter regulärer Ausdruck1333, 730, 400
Gefährdung von Informationen über eine Ausnahme209, 497
Unsichere Massenzuweisung915
Übermäßig zulässiger regulärer Ausdrucksbereich020
Polynomischer regulärer Ausdruck, der für unkontrollierte Daten verwendet wird1333, 730, 400
Reflektiertes serverseitiges Cross-Site Scripting079, 116
Einspeisung regulärer Ausdrücke1333, 730, 400
Vertrauliche Daten, die aus GET-Anforderung gelesen werden598
Serverseitige Anforderungsfälschung918
SQL-Abfrage, die aus benutzerdefinierten Quellen erstellt wurde089
Gespeichertes Cross-Site-Scripting079, 116
Nicht gesteuerte Befehlszeile078, 088
Nicht kontrollierte Daten, die im Pfadausdruck verwendet werden022, 023, 036, 073, 099
Unsicherer HTML-Code, der aus Bibliothekseingaben erstellt wurde079, 116
Unsicherer Shell-Befehl, der aus Bibliothekseingaben erstellt wurde078, 088, 073
URL-Umleitung von Remote-Quelle601
Verwendung von Kernel.open oder IO.read oder ähnlichen Senken mit einem nicht konstanten Wert078, 088, 073
Verwendung von Kernel.open, IO.read oder ähnlichen Senken mit benutzergesteuerter Eingabe078, 088, 073
Verwendung eines fehlerhaften oder schwachen Kryptografiealgorithmus327
Verwendung eines fehlerhaften oder schwachen kryptografischen Hashalgorithmus für vertrauliche Daten327, 328, 916
Verwenden einer extern gesteuerten Formatzeichenkette134
Schwache Cookie-Konfiguration732, 1275
Erweiterung der externen XML-Entität611, 776, 827
Hartcodierte Anmeldedaten259, 321, 798
Hartcodierte Daten, die als Code interpretiert werden506
Protokolleinspeisung117
Fehlender Anchor des regulären Ausdrucks020
In Datei geschriebene Netzwerkdaten912, 434
Anforderung ohne Zertifikatsüberprüfung295
Unsicherer Code, der aus Bibliothekseingaben erstellt wurde094, 079, 116