Golang漏洞管理体系以及govulncheck漏洞检测工具介绍

已于 2024-02-01 22:38:06 修改
阅读量1.1k 收藏 22
点赞数 17
文章标签: 程序人生
于 2024-01-31 23:36:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TomCN0803/article/details/135964271
版权

这位 Gopher 你好呀!如果觉得我的文章还不错,欢迎一键三连支持一下!文章会定期更新,同时可以微信搜索【凑个整数1024】第一时间收到文章更新提醒⏰

体系概览

Golang官方提供了一套比较完整的漏洞管理体系,可以帮助开发人员检测、评估和解决可能被攻击者利用的错误和漏洞。该体系的底层架构主要分为如图所示三部分:数据源Go漏洞数据库工具集成

Go漏洞管理体系

  1. Go漏洞数据源主要包括National Vulnerability Database (NVD)Github Advisory DatabaseGo维护者提交的Issue等,通过一个data pipeline对这些数据进行采集、格式化处理;
  2. Go漏洞数据库用于存储从data pipeline传输来并格式化后的漏洞数据。Go安全团队会对数据库中所存储的全部漏洞数据进行研判和修正。存储的漏洞数据均为Open Source Vulnerability (OSV)格式,同时对外提供查询服务的API
  3. 为了方便Go开发者对自己的项目进行漏洞检测,Go漏洞管理体系同样提供了pkg.go.dev以及govulncheck工具集成。其中govulncheck是一个Go编写的二进制工具,开发者运行该工具就可以检查Go项目中的漏洞。

govulncheck工具

govulncheck是前文提到的Go官方编写的Go项目漏洞检测二进制工具,开发者运行该工具就可以检查Go项目中的漏洞。govulncheck通过对Go项目源码或者二进制文件中的符号表进行静态分析,以得到对项目安全性造成影响的安全漏洞。

基本原理

在默认情况下,运行govulncheck会向Go官方的漏洞数据库发起HTTP请求,并返回查询结果。govulncheck所发起的请求中只会包含项目中所用到的go module路径,而不会包括源码、项目配置等其它数据信息。

govulncheck根据不同的分析目标会有不同的分析策略,例如在分析Go源码文件(*.go)时,会使用当前本地环境变量中默认的Go配置信息;而分析Go二进制文件时(仅支持go1.18及以上),会使用编译出该二进制文件的Go配置信息。不同的Go配置信息可能会得到不同的漏洞检测结果。

基本使用

安装最新版本govulncheck:

go install golang.org/x/vuln/cmd/govulncheck@latest

基本使用(在项目根目录下):

govulncheck ./...

官方完整文档链接见下文

接入外部漏洞数据库

执行govulcheck时可以通过-db标识指定一个外部Go漏洞数据库,这个外部数据库必须实现Go漏洞数据库API企业单位其实可以利用这一特性,将自己内部的漏洞库适配govulncheck

集成至编辑器

目前官方仅支持VSCode和Vim/NeoVim的Go漏洞扫描集成,且需要开启v0.11.0版本以上的gopls(Go官方语言服务器LSP)。目前共有两种漏洞检测模式:

  • Imports-based:此模式不需要govulncheck的支持,直接对go.mod(如果启用go workspace则会应用go.work中的依赖规则)中的依赖进行扫描,速度较快但是容易有“假阳性”的结果;
  • Govulncheck-based:基于govulncheck工具,速度较慢需,要手动触发,但准确度、集成度更高;

其中Vim/NeoVim仅支持Imports-based,而VSCode两者全部支持。

VSCode

VSCode的官方Go插件已经自动集成了gopls,只需在VSCode配置文件中添加如下配置项:

"go.diagnostic.vulncheck": "Imports", // enable the imports-based analysis by default.
"gopls": {
  "ui.codelenses": {
    "run_govulncheck": true // "Run govulncheck" code lens on go.mod file.
  }
}

一些效果图:

Vim/NeoVim

使用coc.nvim,添加如下配置:

{
    "codeLens.enable": true,
    "languageserver": {
        "go": {
            "command": "gopls",
            "initializationOptions": {
                "vulncheck": "Imports",
            }
        }
    }
}

相关资源

  • Go漏洞管理官方介绍:https://go.dev/security/vuln
  • Go漏洞数据库索引:https://vuln.go.dev
  • 网页版Go漏洞数据库(集成至pkg.go.dev):https://pkg.go.dev/vuln
  • Go漏洞数据库数据格式、API说明文档:https://go.dev/security/vuln/database
  • 漏洞检测工具govulncheck文档:https://pkg.go.dev/golang.org/x/vuln/cmd/govulncheck
  • govulncheck集成VSCode:https://go.dev/security/vuln/editor
凑个整数1024
关注
  • 17
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
Go的全新漏洞检测工具govulncheck来了
perfume
09-11 2085
前言 Go安全团队在2022.09.06发布了全新的漏洞检测工具govulncheck,可以帮助我们发现Go程序里的安全漏洞。 本文详细介绍该工具目前的现状以及接下来的功能规划。 Go漏洞检测系统架构 上图是Go安全团队对于Go代码漏洞检测的系统架构图。 第1步,漏洞采集。Go安全团队会采集众多漏洞数据库,包括公开的漏洞数据库(例如National Vulnerability Database (NVD)[1]和 GitHub Advisory Database[2])、社区反馈的[Go package
Golang项目管理实践一--Golang包管理特点以及Glide工具的使用
villare的博客
01-10 8800
文章内容 Golang包管理的特点 Golang包管理的注意点 结合Glide工具进行包管理实践 总结 由于Golang特殊的包管理策略,同时,目前并没有成熟的包管理工具,因此需要我们在管理Golang项目时,需要首先考虑适合项目的一种包管理策略,已达到“ReproducibleBuild”的最终目的; 注:文章基于Golang 1.7+ 1.Golang包管理的特点
漏洞预警|golang net/url 路径穿越漏洞
LJQClqjc的博客
09-14 1134
近日网上有关于开源项目golang net/url 路径穿越漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
golang应用性能异常诊断方案及主流诊断工具holmes
学亮编程手记
08-20 371
golang应用性能异常诊断方案及主流诊断工具holmes
golang性能诊断看这篇就够了
sydhappy的专栏
12-30 456
点击上方蓝字关注我们我们日常接触性能诊断问题,一般分为两种情况,一是线上应用真的出现性能问题;二是我们需要对准备上线的系统进行性能预估;后者需要压力测试辅助进行,此处不表。针对GO应用,性...
Go 代码审计高危漏洞(sqli\cmd\ssrf)
god_Zeo的安全博客
10-30 1231
Go 代码审计高危漏洞 sqli注入 cmd命令执行 ssrf
Go新漏洞管理工具: govulncheck
Go中国
09-10 512
我们很高兴地宣布 Go 对漏洞管理的最新支持,这是我们为帮助 Go 开发者了解可能影响他们的已知漏洞而迈出的第一步。这篇文章概述了这个项目的当前状况和后续计划。概览Go 提供的工具可以分析你的代码库并展示出已知的漏洞,该工具由 Go 安全团队设计维护的 Go 漏洞数据库提供支持。Go 只展示代码调用函数中的漏洞,从而减少结果中的噪音。Go 漏洞数据库Go 漏洞数据库(https://vuln.go...
一款基于浏览器爬虫golang开发的web漏洞主动(被动)扫描器.zip
05-18
【标题】中的“一款基于浏览器爬虫golang开发的web漏洞主动(被动)扫描器”表明,这是一个使用Golang编程语言构建的Web漏洞扫描工具,它结合了浏览器爬虫技术,能够主动或被动地检测网站的安全漏洞。这个工具可能是...
溢出是用于利用OSCP样式的缓冲区溢出漏洞的命令行工具-Golang开发
05-26
溢出是一种命令行工具,用于利用OSCP样式的缓冲区溢出漏洞,重点是快速利用。 但是,我强烈建议您了解此工具可以做的所有事情,尤其是当您计划获得OSCP认证时。 玩得开心! 溢出溢出是一种命令行工具,用于利用OSCP...
Go漏洞数据库-Golang开发
05-26
Go漏洞数据库Go漏洞数据库golang.org/x/vulndb此存储库是Go漏洞数据库的原型。 阅读设计草案。 在批准的提案之前,无论代码,数据还是该存储库的存在都不会被认为是稳定的。 重要:此存储库中的漏洞条目以内部不稳定...
一种快速扫描Microsoft Exchange Server上漏洞的快速工具,它使攻击者可以绕过身份验证并冒充管理员(CVE-2021-26855)。-Golang开发
05-26
使攻击者可以绕过身份验证和imperson代理proxylogscan此工具可以大规模扫描Microsoft Exchange Server上的一个漏洞,它允许攻击者绕过身份验证并以管理员身份进行伪装(CVE- 2021-26855)。 通过将此漏洞与另一个...
Golang代码漏洞扫描工具介绍——govulncheck
killer1989的博客
09-15 706
govulncheck是一个命令行工具,帮助Go用户在项目依赖中查找已知的漏洞。该工具可以分析代码库和二进制文件,并通过优先考虑实际调用你代码的函数中的漏洞来减少干扰。
Golang 程序漏洞检测利器 govulncheck(一):安装和使用方法
路多辛的所思所想
08-31 1509
govulncheck 是一个命令行工具,可以帮助 Golang 开发者快速找到项目代码和依赖的模块中的安全漏洞。该工具可以分析源代码和二进制文件,识别代码中对这些漏洞的任何直接或间接调用。默认情况下,govulncheck 通过 Go 漏洞数据库 https://vuln.go.dev 提供的接口查询相关的模块是否包含漏洞(查询接口的请求只包含模块路径,不包含程序的代码或其他属性)。
Go 官方新玩具:漏洞管理和扫描,看看自己项目有没有坑?
EDDYCJY的博客
09-18 278
大家好,我是煎鱼。业务系统的安全问题一直是各企业的 “头号” 问题(被发现时)。不知道有多少读者朋友们经历了刚刚结束的 HW 行动。最近发现有厂商已经可以对 Go 开始做检测了,这又是一大进步。这不,最近发现 Go 官方自己推出了新的工具,作用是漏洞管理,告诉你已报告的漏洞,并告知你应该如何升级到什么版本。今天这篇文章就是分享这个安全工具。前置的版本要求是:Go >= 1.18。govuln...
Gogs 任意用户登录漏洞(CVE-2018-18925)
EC_Carrot的博客
06-17 3249
漏洞背景 Gogs(又名Go Git Service)是Gogs团队开发的一个基于Go语言的自助Git托管服务,它支持创建、迁移公开/私有仓库,添加、删除仓库协作者等。 Gogs 0.11.66版本中存在安全漏洞,该漏洞源于程序没有正确验证会话ID。远程攻击者可利用该漏洞执行代码。 漏洞复现 使用Gob序列化生成session文件: package main import ( "bytes" "encoding/gob" "encoding/hex" "fmt" "
Go:安全漏洞扫描工具Gosec详解
最新发布
十年运维开发经验的王义杰在此分享自己的知识和经验
11-25 609
Gosec(之前称为 Gas)是一款开源的 Go 语言安全扫描工具,它能够自动检测 Go 代码中的安全漏洞。Gosec 通过分析 Go 代码的抽象语法树(AST),来识别出潜在的安全问题,如 SQL 注入、未处理的错误、不安全的加密方法等。Gosec 作为一款功能强大的 Go 语言安全扫描工具,可以帮助开发者及时发现并修复代码中的安全漏洞。通过将 Gosec 集成到开发流程中,我们可以大大提高 Go 项目的安全性,确保软件的健康稳定发展。
Golang 防止路径遍历漏洞
Dablelv 的博客专栏。
03-15 1213
路径遍历漏洞,也被称为目录遍历漏洞,是一种常见的安全漏洞类型,攻击者可以通过该漏洞访问或修改应用程序之外的目录或文件。这种漏洞通常由于应用程序在接受用户输入时没有正确过滤或验证用户提供的文件路径导致。攻击者可以通过构造特定的输入,使得应用程序执行意外的操作,例如读取敏感文件、修改应用程序之外的文件或删除文件等。如果不对用于输入的路径进行过滤,那么上面的请求路径将被路由到其他桶,导致重要数据泄露。
linux下zerotier普通用户想执行zerotier-cli ** 命令报错提示“zerotier-cli: missing authentication token and...
XXX1238XGH的博客
06-05 7777
linux下zerotier普通用户想执行zerotier-cli ** 命令提示“zerotier-cli: missing authentication token and authtoken.secret not found (or readable) in /var/lib/zerotier-one”解决办法: chmod 755 /var/lib/zerotier-one/authtoken.secret 常用权限对照: -rw------- (600) 只有拥有者有读写权限。 -rw
最新系统漏洞--Google Golang竞争条件漏洞
weixin_48555088的博客
03-24 5459
最新系统漏洞2022年3月22日 受影响系统: Google Golang >= 1.16.0 Google Golang > 1.15.12 Google Golang <= 1.16.5 描述: CVE(CAN) ID: CVE-2021-3622 Google Golang是美国谷歌(Google)公司的一种静态强类型、编译型语言。Go的语法接近C语言,但对于变量的声明有所不同。Go支持垃圾回收功能。 Google Golang存在竞争条件漏洞。该漏洞源于程序在处理ErrAbortH
golang如何获取系统的包管理工具
05-31
在Go语言中,可以使用以下命令来获取系统的包管理工具: - 对于Debian/Ubuntu系统:`apt-get` - 对于CentOS/Fedora系统:`yum` - 对于macOS系统:`brew` - 对于Windows系统:`chocolatey` 可以使用`which`命令来...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值