Esta versão do GitHub Enterprise Server será descontinuada em 2026-03-17. Nenhum lançamento de patch será feito, mesmo para questões críticas de segurança. Para obter melhor desempenho, segurança aprimorada e novos recursos, atualize para a última versão do GitHub Enterprise Server. Para obter ajuda com a atualização, entre em contato com o suporte do GitHub Enterprise.

Consultas C# para análise CodeQL

Explore as consultas que o CodeQL usa para analisar o código escrito em C# quando você seleciona o conjunto de consultas default ou security-extended.

Quem pode usar esse recurso?

O CodeQL está disponível para os seguintes tipos de repositórios:

O CodeQL inclui muitas consultas para analisar o código C#. Todas as consultas no conjunto de consultas default são executadas por padrão. Se você optar por usar o conjunto de consultas security-extended, consultas adicionais serão executadas. Para saber mais, confira Conjuntos de consultas CodeQL.

Consultas internas para análise do C#

Esta tabela lista as consultas disponíveis com a versão mais recente da ação CodeQL e CodeQL CLI. Para obter mais informações, consulte Logs de alterações do CodeQL no site de documentação do CodeQL .

Observação

A versão inicial do GitHub Enterprise Server 3.15 incluía a ação CodeQL e CodeQL CLI 2.18.4, que pode não incluir todas essas consultas. O administrador do site pode atualizar sua versão do CodeQL para uma versão mais recente. Para saber mais, confira Como configurar a verificação de código do seu dispositivo.

Nome da consultaCWEs relacionadosPadrãoEstendidoAutofixo do Copilot
          [O atributo 'requireSSL' não está definido como true](https://codeql.github.com/codeql-query-help/csharp/cs-web-requiressl-not-set/) | 319, 614 | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Inclu" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Inclu" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Inclu" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> |

| Acesso arbitrário a arquivos durante a extração de arquivos ("Zip Slip") | 022 | | | | | O arquivo de configuração ASP.NET habilita a navegação no diretório | 548 | | | | | Injeção de caminho de montagem | 114 | | | | | Armazenamento de texto não criptografado de informações confidenciais | 312, 315, 359 | | | | | O atributo 'HttpOnly' do cookie não está definido como true | 1004 | | | | | O atributo 'Secure' do cookie não está definido como true | 319, 614 | | | | | Segurança de cookies: domínio excessivamente amplo | 287 | | | | | Segurança de cookies: caminho excessivamente amplo | 287 | | | | | Segurança de cookies: cookie persistente | 5:39 | | | | | Criar um binário de depuração ASP.NET pode revelar informações confidenciais | 011, 532 | | | | | Script entre sites | 079, 116 | | | | | Negação de serviço por meio da comparação da entrada do usuário com o regex de despesa | 1333, 730, 400 | | | | | Desserialização de dados não confiáveis | 502 | | | | | Delegado desserializado | 502 | | | | | Criptografia usando ECB | 327 | | | | | Exposição de informações privadas | 359 | | | | | Falha ao abandonar a sessão | 384 | | | | | Verificação de cabeçalho desabilitada | 113 | | | | | Controle inadequado de geração de código | 094, 095, 096 | | | | | Exposição de informações por meio de uma exceção | 209, 497 | | | | | Exposição de informações através de dados transmitidos | 201 | | | | | Aleatoriedade não segura | 338 | | | | | Consulta LDAP criada com base em fontes controladas pelo usuário | 090 | | | | | Entradas de log criadas com base na entrada do usuário | 117 | | | | | Validação de token de falsificação de solicitação entre sites ausente | 352 | | | | | Manipulador de erros globais ausente | 012, 248 | | | | | Cabeçalho HTTP X-Frame-Options ausente | 451, 829 | | | | | A validação da solicitação de página está desabilitada | 016 | | | | | Injeção de expressão regular | 730, 400 | | | | | Injeção de recursos | 099 | | | | | Consulta SQL criada com base em fontes controladas pelo usuário | 089 | | | | | Linha de comando não controlada | 078, 088 | | | | | Dados não controlados usados na expressão de caminho | 022, 023, 036, 073, 099 | | | | | Cadeia de caracteres de formato não controlada | 134 | | | | | XML não confiável é lido sem segurança | 611, 827, 776 | | | | | Aritmética de ponteiro local não validada | 119, 120, 122, 788 | | | | | Redirecionamento de URL da fonte remota | 601 | | | | | Bypass controlado pelo usuário de método confidencial | 807, 247, 350 | | | | | Criptografia fraca | 327 | | | | | Criptografia fraca: preenchimento RSA inadequado | 327, 780 | | | | | Criptografia fraca: tamanho de chave insuficiente | 326 | | | | | Injeção de XML | 091 | | | | | Injeção de XPath | 643 | | | | | Senha vazia no arquivo de configuração | 258.862 | | | | | Referência de objeto direto não seguro | 639 | | | | | Conexão SQL não segura | 327 | | | | | Controle de acesso de nível de função ausente | 285, 284, 862 | | | | | Validação XML ausente | 112 | | | | | Bypass de verificação de serialização | 020 | | | | | Captura insegura de thread de um objeto ICryptoTransform | 362 | | | | | Uso não seguro de thread de um campo ICryptoTransform estático | 362 | | | | | Uso de upload de arquivo | 434 | | | | | Sombreamento de valores | 348 | | | | | Sombreamento de valores: variável de servidor | 348 | | | |