Ruby queries for CodeQL analysis

Explore the queries that CodeQL uses to analyze code written in Ruby when you select the default or the security-extended query suite.

Кто может использовать эту функцию?

CodeQL доступен для следующих типов репозитория:

CodeQL includes many queries for analyzing Ruby code. Все запросы в наборе default запросов выполняются по умолчанию. Если вы решили использовать security-extended набор запросов, выполняются дополнительные запросы. Дополнительные сведения см. в разделе Наборы запросов CodeQL.

Built-in queries for Ruby analysis

В этой таблице перечислены запросы, доступные в последнем выпуске действия CodeQL и CodeQL CLI. Дополнительные сведения см. в разделе CodeQL журналов изменений на сайте документации CodeQL документации.

Имя запросаСвязанные CWEsПо умолчанию.РасширенноеАвтофикс второго пилота
Неправильная фильтрация HTML116, 020, 185, 186
Неправильно привязанное регулярное выражение020
Ведение журнала конфиденциальной информации с четким текстом312, 359, 532
Хранение конфиденциальной информации с помощью очистки текста312, 359, 532
Внедрение кода094, 095, 116
Защита CSRF не включена352
Защита CSRF ослабла или отключена352
Скачивание зависимостей с помощью незашифрованного канала связи300, 319, 494, 829
Десериализация управляемых пользователем данных502
Скачивание конфиденциального файла через небезопасное подключение829
Неполная очистка нескольких символов020, 080, 116
Неполное регулярное выражение для имен узлов020
Неполное экранирование строк или кодировка020, 080, 116
Неполная очистка подстроки URL-адресов020
Неэффективное регулярное выражение1333, 730, 400
Раскрытие информации с помощью исключения209, 497
Небезопасное назначение массы915
Чрезмерно допустимый диапазон регулярных выражений020
Многономиальное регулярное выражение, используемое для неконтролируемых данных1333, 730, 400
Отражение межсерверного скрипта на стороне сервера079, 116
Внедрение регулярных выражений1333, 730, 400
Чтение конфиденциальных данных из запроса GET598
Подделка запроса на стороне сервера918
SQL-запрос, созданный из управляемых пользователем источников089
Хранение сценариев между сайтами079, 116
Неконтролируемая командная строка078, 088
Неконтролируемые данные, используемые в выражении пути022, 023, 036, 073, 099
Небезопасный HTML-код, созданный из входных данных библиотеки079, 116
Небезопасная команда оболочки, созданная из входных данных библиотеки078, 088, 073
Перенаправление URL-адресов из удаленного источника601
Использование или IO.read аналогичных Kernel.open приемников с неконстантным значением078, 088, 073
Kernel.openИспользование приемников IO.read или аналогичных приемников с пользовательскими входными данными078, 088, 073
Использование сломанного или слабого алгоритма шифрования327
Использование неработающего или слабого алгоритма хэширования криптографических данных в конфиденциальных данных327, 328, 916
Использование строки форматирования с внешним контролем134
Слабая конфигурация файлов cookie732, 1275
Расширение внешней сущности XML611, 776, 827
Жестко закодированные данные, интерпретированные как код506
Внедрение журналов117
Отсутствует привязка регулярного выражения020
Сетевые данные, записанные в файл912, 434
Запрос без проверки сертификата295
Небезопасный код, созданный из входных данных библиотеки094, 079, 116