Actions queries for CodeQL analysis

Explore the queries that CodeQL uses to analyze code written in GitHub Actions workflow files when you select the default or the security-extended query suite.

この機能を使用できるユーザーについて

CodeQL は、次の種類のリポジトリで使用できます:

GitHub.com のパブリックリポジトリについては、「GitHub CodeQL の使用条件」を参照してください
GitHub Code Security が有効になっている GitHub Team または GitHub Enterprise Cloud 上の organization 所有のリポジトリ

CodeQL includes many queries for analyzing GitHub Actions workflows. default クエリスイート内のすべてのクエリは、既定で実行されます。 security-extended クエリスイートを使用する場合は、追加のクエリが実行されます。詳しくは、「CodeQL クエリスイート」をご覧ください。

Built-in queries for GitHub Actions analysis

次の表に、最新リリースの CodeQL アクションと CodeQL CLI で使用できるクエリを示します。詳細については、CodeQL ドキュメントにある CodeQL クエリに関するページを参照してください。

Query name	Related CWEs	Default	Extended	Copilot Autofix
Artifact poisoning	829
Cache Poisoning via caching of untrusted files	349
Cache Poisoning via execution of untrusted code	349
Cache Poisoning via low-privileged code injection	349, 094
Checkout of untrusted code in a privileged context	829
Checkout of untrusted code in trusted context	829
Code injection	094, 095, 116
Environment variable built from user-controlled sources	077, 020
Excessive Secrets Exposure	312
Improper Access Control	285
PATH environment variable built from user-controlled sources	077, 020
Storage of sensitive information in GitHub Actions artifact	312
Unmasked Secret Exposure	312
Untrusted Checkout TOCTOU	367
Untrusted Checkout TOCTOU	367
Use of a known vulnerable action	1395
Workflow does not contain permissions	275
Artifact poisoning	829
Checkout of untrusted code in trusted context	829
Code injection	094, 095, 116
Environment variable built from user-controlled sources	077, 020
PATH environment variable built from user-controlled sources	077, 020
Unpinned tag for a non-immutable Action in workflow	829