这个工具真好:看看你的 Go 项目依赖有无漏洞

最新推荐文章于 2024-01-24 01:53:01 发布
最新推荐文章于 2024-01-24 01:53:01 发布
阅读量380 收藏
点赞数 1
文章标签: 编程语言 java go golang 人工智能
原文链接:https://polarisxu.studygolang.com/posts/go/project/google-deps/
版权

阅读本文大概需要 3 分钟。

大家好,我是 polarisxu。

发现了一个好工具,推荐给大家!

https://deps.dev/,这是 Google 新出的一个实验性工具,命名为:Open Source Insights,它能让你更了解你的项目依赖。

通过这个网站,你可以查询任意开源项目的依赖情况,还包括依赖的依赖,可以看到完整的依赖关系图,而且可以看到它们的许可证。

目前该工具支持 Go Modules、NPM packages、Java 的Mavan 和 Rust 的 Cargo,将来可能还会支持 .Net 的 NuGet 和 Python 的 PyPI。

以 Go 语言中文网的源码为例,看看使用情况。

输入包名:github.com/studygolang/studygolang,https://deps.dev/go/github.com%2Fstudygolang%2Fstudygolang 结果如下:

发现有几处安全问题,查看详细信息,发现有几个库有漏洞:

  • golang.org/x/crypto

  • golang.org/x/text

  • github.com/dgrijalva/jwt-go

  • github.com/labstack/echo/v4

  • github.com/tidwall/gjson

拿 github.com/tidwall/gjson 看看:

gjson 1.6.3 及以下版本存在这个漏洞,具体信息来源:https://github.com/tidwall/gjson/issues/192,由于不正确的边界检查,恶意构造的 JSON 对象可能会引起越界 panic。如果解析用户输入,这可能被用作分布式拒绝服务攻击。

根据这个提示应该升级我们的依赖,修复漏洞。

在 Dependencies 标签可以看到项目依赖,支持表格方式和图表方式查看依赖。在 Dependents 标签可以看到哪些项目依赖了当前项目。

赶紧看看你在使用的开源项目有无安全漏洞,会不会有安全隐患。比如 Gin 项目就有安全漏洞:


往期推荐

我是 polarisxu,北大硕士毕业,曾在 360 等知名互联网公司工作,10多年技术研发与架构经验!2012 年接触 Go 语言并创建了 Go 语言中文网!著有《Go语言编程之旅》、开源图书《Go语言标准库》等。

坚持输出技术(包括 Go、Rust 等技术)、职场心得和创业感悟!欢迎关注「polarisxu」一起成长!也欢迎加我微信好友交流:gopherstudio

煎鱼(EDDYCJY)
关注
Web中间件常见安全漏洞
KHOST的博客
03-19 8335
第一章:IIS IIS 6 解析漏洞 IIS 7 解析漏洞 PUT任意文件写入 IIS短文件漏洞 HTTP.SYS远程代码执行 (MS15-034) RCE-CVE-2017-7269 第二章:Apache 未知扩展名解析漏洞 AddHandler导致的解析漏洞 ...
java面试题,看我这篇就够了,前端后台应有尽有,包你通过面试
cencong863251的博客
04-03 3002
HTML&CSS部分 1、HTML中定义表格的宽度用80px和80%的区别是什么? PX标识像素,%标识整个父标签宽度百分比 2、CSS样式定义优先级顺序是? 内联样式最高优先权,然后是内部样式,然后才是外部样式 3、div和span的区别?   DIV 和 SPAN 元素最大的特点是默认都没有对元素内的对象进行任何格式化渲染。主要用于应用样式表(共同点)。   两者最明显的区别在于DIV...
go-derper - memcached漏洞利用工具
weixin_34124577的博客
11-23 420
At BlackHat USA last year we spoke about attacking cloud systems, while the thinking was broadly applicable, we focused on specific providers (overview). This year, we continued ...
go语言任意代码执行漏洞 cve-2018-6574
whatday的专栏
08-27 1928
前不久,Go官方修复了CVE-2018-6574这个漏洞,这个漏洞又是涉及软件编译环节,和2015年Xcode被污染类似,攻击者可以通过在软件编译环节插入恶意数据从而执行任意代码,虽然原理并不复杂,但有很好的警示意义。 什么是Go语言? Go 是一个Google推出的开源编程语言,它能让构造简单、可靠且高效的软件变得更容易,且有着更高的开发效率和运行性能,因此受到了许多开发者的欢迎。 Go 程序源码 以*.go结尾,通过 go build 编译成native代码。 以最简单的hello worl..
Go语言的安全编程:如何避免常见的安全漏洞
最新发布
程序员光剑
01-24 401
1.背景介绍 1. 背景介绍 Go语言是一种现代编程语言,由Google的Robert Griesemer、Rob Pike和Ken Thompson在2009年开发。Go语言旨在简化编程,提高性能和可扩展性。然而,与其他编程语言一样,Go语言也面临着安全性问题。在本文中,我们将探讨Go语言的安全编程,以及如何避免常见的安全漏洞。 2. 核心概念与联系 在Go语言中,安全编程是一项重要的技...
linux下zerotier普通用户想执行zerotier-cli ** 命令报错提示“zerotier-cli: missing authentication token and...
XXX1238XGH的博客
06-05 7832
linux下zerotier普通用户想执行zerotier-cli ** 命令提示“zerotier-cli: missing authentication token and authtoken.secret not found (or readable) in /var/lib/zerotier-one”解决办法: chmod 755 /var/lib/zerotier-one/authtoken.secret 常用权限对照: -rw------- (600) 只有拥有者有读写权限。 -rw
Go 代码审计高危漏洞(sqli\cmd\ssrf)
god_Zeo的安全博客
10-30 1262
Go 代码审计高危漏洞 sqli注入 cmd命令执行 ssrf
一个程序员的成长之路
weixin_35713159的博客
04-13 1379
equals一般比较对象内容是否相等,而==比较两者的栈中保存的对象堆地址值是否相等,即是否指向同一个对象,equals在object中就存在,如不重写的话两者没有区别,重写时一般使用hashcode方法结合,比较相等首先判断hashcode是否相等,相等再进行真实值的比较,大大降低比较时间,最多两次即可判断。原因:在一个范围中的浮点数个数不是有限的,存在精度问题,如果要进行比较,使用BigDecimal并使用BigDecimal提供的对象方法进行计算,构造时使用String作为入参防止丢失精度。
运行无间:阿里巴巴运维保障体系的一种最佳实践
高效运维
12-29 3664
本文根据 GOPS2017·上海站演讲《阿里巴巴运维保障体系的一种最佳实践》整理发布讲师 | 吴昌龙编辑 | 黄晓轩讲师简介吴昌龙阿里巴巴全球运行指挥中心,GOC (Global Operations Center)是保障阿里经济体的线上业务稳定运行的核心团队。2014年硕士毕业,专注于云计算。先后就职于微电影,Melotic(比特币),Rakuten(日本第一大电商)。2016年回国加入了阿里巴
使用GO(golang) 通过wmi 创建HYPER-V虚拟机
weixin_42355309的博客
10-02 1640
环境: server2016 go version go1.17.1 windows/amd64 上代码: package main import ( "fmt" "github.com/go-ole/go-ole" "github.com/go-ole/go-ole/oleutil" "log" "time" ) func main() { ole.CoInitializeEx(0, ole.COINIT_MULTITHREADED) defer ole.CoUninitia
OpenGLInsightsCode:OpenGL Insights的源代码-Open source
03-25
OpenGL Insights源代码
【已解决】go run时包管理提示代理网址无法访问
luyaran的博客
07-12 814
出现提示如下: go: github.com/StackExchange/wmi@v0.0.0-20190523213315-cbe66965904d: Get "https://proxy.golang.org/github.com/%21stack%21exchange/wmi/@v/v0.0.0-20190523213315-cbe66965904d.mod": dial tcp 34.64.4.17:443: i/o timeout 带网址【proxy.golang.org】的错误提示大部分
gin框架出现遍历目录的bug
cyberspecter的专栏
09-09 1260
文章目录一、 问题描述二、代码复现 一、 问题描述 在使用 gin 框架的时候,出现了线上漏洞,即可以通过 url 遍历目录。添加了对权限的控制。在后续的项目中,也需要用到 ctx.File(filename string) 函数。开始时想要使用 StripPrefix 但由于其他原因放弃了。 二、代码复现 package main import ( "fmt" "github.com/gi...
Golang gin框架使用
做个懂管理、懂产品,懂技术的大叔
12-11 1918
gin框架安装,gopath下 go get github.com/gin-gonic/gin 创建一个项目 src目录下创建你的项目目录goapp 在goapp目录下创建main.go // src/goapp/main.go package main import ( "github.com/gin-gonic/gin" "net/http" ) func main() { ...
[Go] go语言使用dgrijalva/jwt-go 实现加解密jwt
程序员老狼专注开发aigc或客服系统应用
09-07 1299
当开发登录验证系统的时候 现在基本都是使用的jwt来实现的权限校验 这时候就涉及到了jwt的加密和解密 可以参考下面的使用方法 tools/jwt.go package tools import ( "github.com/dgrijalva/jwt-go" "time" ) const SECRET = "taoshihan" type UserClaims struc...
go代码实现jwt
qianzongCui的博客
12-29 1711
go代码实现jwt
可直接套用的Go编码规范
一蓑烟雨任平生
06-23 560
GitHub - marmotedu/geekbang-go: 极客时间 《Go 语言项目开发实战》课程补充教程。在Go项目开发中,一个好的编码规范可以极大的提高代码质量。为了帮你节省时间和精力,这里我整理了一份清晰、可直接套用的 Go 编码规范,供你参考。这份规范,是我参考了Go官方提供的编码规范,以及Go社区沉淀的一些比较合理的规范之后,加入自己的理解总结出的,它比很多公司内部的规范更全面,你掌握了,以后在面试大厂的时候,或者在大厂里写代码的时候,都会让人高看你一眼,觉得你code很专业。这份编码规范中
GSON序列化数据丢失漏洞
u011065247的博客
03-17 1430
GSON序列化数据丢失漏洞 如图:
GO语言Beego框架之WEB安全小系统(6)ZIP解压漏洞
weixin_43087913的博客
08-21 614
写的太好了: GO语言Beego框架之WEB安全小系统(6)ZIP解压漏洞 https://blog.csdn.net/a657997301/article/details/82662691
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值