Esta versão do GitHub Enterprise Server foi descontinuada em 2026-03-17. Nenhum lançamento de patch será feito, mesmo para questões críticas de segurança. Para obter melhor desempenho, segurança aprimorada e novos recursos, atualize para a última versão do GitHub Enterprise Server. Para obter ajuda com a atualização, entre em contato com o suporte do GitHub Enterprise.

Consultas da linguagem Go para análise CodeQL

Explore as consultas que o CodeQL usa para analisar o código escrito em Go (Golang) quando você seleciona o conjunto de consultas default ou security-extended.

Quem pode usar esse recurso?

O CodeQL está disponível para os seguintes tipos de repositórios:

O CodeQL inclui muitas consultas para analisar o código Go. Todas as consultas no conjunto de consultas default são executadas por padrão. Se você optar por usar o conjunto de consultas security-extended, consultas adicionais serão executadas. Para saber mais, confira Conjuntos de consultas CodeQL.

Consultas embutidas para análise da linguagem Go

Esta tabela lista as consultas disponíveis com a versão mais recente da ação CodeQL e CodeQL CLI. Para obter mais informações, consulte Logs de alterações do CodeQL no site de documentação do CodeQL .

Observação

A versão inicial do GitHub Enterprise Server 3.15 incluía a ação CodeQL e CodeQL CLI 2.18.4, que pode não incluir todas essas consultas. O administrador do site pode atualizar sua versão do CodeQL para uma versão mais recente. Para saber mais, confira Como configurar a verificação de código do seu dispositivo.

Nome da consultaCWEs relacionadosPadrãoEstendidoAutofixo do Copilot
          [Acesso arbitrário a arquivos durante a extração de arquivos ("Zip Slip")](https://codeql.github.com/codeql-query-help/go/go-zipslip/) | 022 | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Inclu" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Inclu" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Inclu" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> |

| Gravação arbitrária de arquivo extraindo um arquivo que contém links simbólicos | 022 | | | | | Verificação de redirecionamento incorreta | 601 | | | | | Registro em log de texto não criptografado de informações confidenciais | 312, 315, 359 | | | | | Comando criado com base em fontes controladas pelo usuário | 078 | | | | | O atributo 'HttpOnly' do cookie não está definido como true | 1004 | | | | | O atributo 'Secure' do cookie não está definido como true | 614 | | | | | Cross-site scripting via bypass de escape de modelo HTML | 079, 116 | | | | | Consulta de banco de dados criada com base em fontes controladas pelo usuário | 089 | | | | | Verificação de certificado TLS desabilitada | 295 | | | | | Injeção de conteúdo de email | 640 | | | | | Expressão regular incompleta para nomes de host | 020 | | | | | Verificação de esquema de URL incompleto | 020 | | | | | Conversão incorreta entre tipos inteiros | 190, 681 | | | | | Exposição de informações por meio de um rastreamento de pilha | 209, 497 | | | | | Configuração TLS não segura | 327 | | | | | Verificação de assinatura JWT ausente | 347 | | | | | Âncora de expressão regular ausente | 020 | | | | | Abrir URL de redirecionamento | 601 | | | | | Cotação potencialmente não segura | 078, 089, 094 | | | | | Cross-site scripting refletido | 079, 116 | | | | | O cálculo de tamanho para alocação pode estourar | 190 | | | | | Alocação de memória em fatia com valor de tamanho excessivo | 770 | | | | | Caracteres suspeitos em uma expressão regular | 020 | | | | | Dados não controlados usados na solicitação de rede | 918 | | | | | Dados não controlados usados na expressão de caminho | 022, 023, 036, 073, 099 | | | | | Uso de um algoritmo criptográfico danificado ou fraco | 327, 328 | | | | | Uso de um algoritmo de hash criptográfico danificado ou fraco em dados confidenciais | 327, 328, 916 | | | | | Uso de uma chave criptográfica fraca | 326 | | | | | Uso de valor constante state na URL do OAuth 2.0 | 352 | | | | | Uso da implementação não segura do HostKeyCallback | 322 | | | | | Uso de aleatoriedade insuficiente como chave de um algoritmo criptográfico | 338 | | | | | Injeção de XPath | 643 | | | | | Entradas de log criadas com base na entrada do usuário | 117 | | | |