Golang 程序漏洞检测利器 govulncheck(一):安装和使用方法

最新推荐文章于 2024-09-25 07:56:52 发布
最新推荐文章于 2024-09-25 07:56:52 发布
阅读量1.5k 收藏
点赞数
分类专栏: Golang系列知识讲解 文章标签: golang 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luduoyuan/article/details/132612549
版权

govulncheck 是什么?

govulncheck 是一个命令行工具,可以帮助 Golang 开发者快速找到项目代码和依赖的模块中的安全漏洞。该工具可以分析源代码和二进制文件,识别代码中对这些漏洞的任何直接或间接调用。

默认情况下,govulncheck 通过 Go 漏洞数据库 https://vuln.go.dev 提供的接口查询相关的模块是否包含漏洞(查询接口的请求只包含模块路径,不包含程序的代码或其他属性)。

安装和使用方法

安装之前需要将 Go 版本升级到1.18及以上,使用如下命令安装最新版本的 govulncheck:

$ go install golang.org/x/vuln/cmd/govulncheck@latest

在项目的主目录(包含 go.mod 文件的目录)执行如下命令进行漏洞扫描:

$ govulncheck ./...

govulncheck 也可以集成到自己的 CI/CD 系统里面,govulncheck 考虑到这方面的需求,所以输出结果可以选择 json 方式,例如:

$ govulncheck -json ./...

如果使用 govulncheck 扫描编译好的二进制文件,需要使用参数 -mode=binary 并跟上二进制文件的路径,例如:

$ govulncheck -mode=binary $HOME/go/bin/my-go-program

默认情况下,项目如果不存在漏洞,govulncheck 将成功退出(状态码为0),如果存在漏洞,则返回非0的状态码。如果提供了 -json 参数,无论检测到多少漏洞,都会成功退出,即状态码为0。

使用 govulncheck 需要注意的点如下:

  • 被扫描的二进制文件要求是使用 Go 1.18 或者更高版本构建的。
  • 对于函数指针和接口调用的分析比较保守,在某些情况下可能会误报或者打印不够准确的堆栈信息。
  • 使用包反射对函数的调用对静态分析来说是不可见的。对于仅通过这些调用方式可访问到的有漏洞的代码也不会报告漏洞,使用 unsafe 包也可能产生误报。
  • 因为 Go 二进制文件不包含详细的调用信息,所以 govulncheck 也无法显示检测到的漏洞的调用链。对于二进制文件中存在的但无法访问到的代码,也可能产生误报。
  • 只会给出当前执行环境和配置(GOOS/GOARCH)下的漏洞。假设一个漏洞只在 Linux中才有,那么在 Windows 则不会报告该漏洞。所以需要注意跨平台开发的情况,需要在不同的平台做漏洞扫描。另外需要注意的一点时,执行扫描的 go 版本需要和运行环境的 go 版本保持一致,假设 Go 1.18 标准库里才有的漏洞,如果执行扫描使用的 Go 版本是1.19,那么也不会报告该漏洞。

路多辛
关注
专栏目录
Golang 新手入门教程(一):Go 安装与配置
麻凡
07-30 1246
Go也称为Golang,是由Google开发的一种开源、编译和静态类型的编程语言。Go语言的创造者们包括Unix操作系统和B语言(C语言的前身)的创造者、UTF-8编码的发明者KenThompson,Unix项目的参与者、UTF-8编码的联合创始人和Limbo编程语言(Go语言的前身)的创造者RobPike,以及著名的Javascript引擎V8的创造者RobertGriesemer。Go于2009年11月公开发布。Go是一种语法简单的通用编程语言,并由强大的标准库提供支持。............
Go新漏洞管理工具: govulncheck
Go中国
09-10 541
我们很高兴地宣布 Go 对漏洞管理的最新支持,这是我们为帮助 Go 开发者了解可能影响他们的已知漏洞而迈出的第一步。这篇文章概述了这个项目的当前状况和后续计划。概览Go 提供的工具可以分析你的代码库并展示出已知的漏洞,该工具由 Go 安全团队设计维护的 Go 漏洞数据库提供支持。Go 只展示代码调用函数中的漏洞,从而减少结果中的噪音。Go 漏洞数据库Go 漏洞数据库(https://vuln.go...
Go的全新漏洞检测工具govulncheck来了
perfume
09-11 2114
前言 Go安全团队在2022.09.06发布了全新的漏洞检测工具govulncheck,可以帮助我们发现Go程序里的安全漏洞。 本文详细介绍该工具目前的现状以及接下来的功能规划。 Go漏洞检测系统架构 上图是Go安全团队对于Go代码漏洞检测的系统架构图。 第1步,漏洞采集。Go安全团队会采集众多漏洞数据库,包括公开的漏洞数据库(例如National Vulnerability Database (NVD)[1]和 GitHub Advisory Database[2])、社区反馈的[Go package
Golin:一站式安全扫描与风险评估工具
最新发布
gitblog_00639的博客
09-25 1184
Golin:一站式安全扫描与风险评估工具 Golin 弱口令检测漏洞扫描、端口扫描(协议识别,组件识别)、web目录扫描、等保模拟定级、自动化运维、等保工具(网络安全等级保护现场测评工具)内置3级等保核查命令、基线核查工具 项...
Golang代码漏洞扫描工具介绍——govulncheck
killer1989的博客
09-15 740
govulncheck是一个命令行工具,帮助Go用户在项目依赖中查找已知的漏洞。该工具可以分析代码库和二进制文件,并通过优先考虑实际调用你代码的函数中的漏洞来减少干扰。
Golang 程序漏洞检测利器 govulncheck(三):github 集成方法
路多辛的所思所想
10-08 547
上一篇文章详细介绍了 Golang 程序漏洞扫描工具 govulncheck 使用漏洞数据库(Go vulnerability database),本文详细讲解下 Github 项目如何使用 govulncheckgovulncheckGolang 开发者提供了一种准确可靠的方式来了解程序中可能存在的漏洞。官方也开发了对应的 GitHub Action 来帮助开发者扫描托管在 Github 上的项目。
go 中的代码漏洞检查
DisMisPres的博客
07-31 582
govulncheck是go官方提供的一个二进制工具,用于检查go代码或二进制文件是否存在已知的安全漏洞。是go官方提供的一个漏洞检查工具。go团队从多处采集漏洞并存入自己的漏洞库,然后通过工具对代码或二进制文件进行漏洞扫描。很棒的一款工具,建议在日常的开发流程中(CI/CD,代码审查等)引入漏洞检查,能够帮助我们通过go来构建高质量、高安全性的程序
Golang漏洞管理体系以及govulncheck漏洞检测工具介绍
TomCN0803的博客
01-31 1182
govulncheck根据不同的分析目标会有不同的分析策略,例如在分析Go源码文件(*.go)时,会使用当前本地环境变量中默认的Go配置信息;govulncheck是前文提到的Go官方编写的Go项目漏洞检测二进制工具开发者运行该工具就可以检查Go项目中的漏洞漏洞检测工具govulncheck文档:https://pkg.go.dev/golang.org/x/vuln/cmd/govulncheck。其中govulncheck是一个Go编写的二进制工具开发者运行该工具就可以检查Go项目中的漏洞
Go 官方新玩具:漏洞管理和扫描,看看自己项目有没有坑?
EDDYCJY的博客
09-18 307
大家好,我是煎鱼。业务系统的安全问题一直是各企业的 “头号” 问题(被发现时)。不知道有多少读者朋友们经历了刚刚结束的 HW 行动。最近发现有厂商已经可以对 Go 开始做检测了,这又是一大进步。这不,最近发现 Go 官方自己推出了新的工具,作用是漏洞管理,告诉你已报告的漏洞,并告知你应该如何升级到什么版本。今天这篇文章就是分享这个安全工具。前置的版本要求是:Go >= 1.18。govuln...
golang解析网页利器goquery的使用方法
12-31
java里用Jsoup,nodejs里用cheerio,都可以相当方便的解析网页,在golang语言里也找到了一个网页解析的利器,相当的好用,选择器跟jQuery一样 安装 go get github.com/PuerkitoBio/goquery 使用 其实就是项目的...
Golin 弱口令/漏洞/扫描/等保/基线核查的快速安全检查小工具
02-23
主机存活探测、漏洞扫描、子域名扫描、端口扫描、各类服务数据库爆破、poc扫描、xss扫描、webtitle探测、web指纹识别、web敏感信息泄露、web目录浏览、web文件下载、等保安全风险问题风险自查等; 弱口令/未授权访问:40余种; WEB组件识别:300余种; 漏洞扫描:XSS、任意文件访问、任意命令执行、敏感信息泄露、默认账户密码…; 资产扫描:扫描存活主机->判断存活端口->识别协议/组件->基于组件协议进行弱口令、漏洞扫描->输出报告
VulnCheckFramework:正在进行的工作。 当前唯一有用的功能是HTTP basicauth和基于表单的默认凭据检查
05-01
=== PWNMeNot === PWNMeNot是用于默认凭据检查和漏洞验证的python框架。 该文件用作框架的文档和示例用法。 ==基本用法== 运行./VulnChecks.py将打印帮助菜单。 有关示例用法,请参见以下各节。 ==默认凭据检查== 当前,该框架最积极开发和独特的功能是默认的HTTP凭据检查模块。 给定主机/端口或NMAP输出的列表作为输入,框架将使用已知的默认凭据识别并有选择地尝试对包含匹配项的所有服务进行身份验证。 例如,要对NMAP扫描的结果运行所有默认凭据模块,可以使用以下命令: ./VulnChecks.py -r http_login * -g input.gnmap -w 10 如果用户具有一组已知凭据,并且希望在所有模块上对其进行测试,则以下命令会将用户指定的凭据添加为每个模块检查的第一组凭据: ./VulnChecks.py
SCBlog:一个使用Golang编写的个人博客程序
05-07
程序使用Golang开发,为作者自用博客程序 安装说明 安装Golang 安装Git 安装MongoDB 获取所使用的第三方库 go get github.com/astaxie/beego go get github.com/axgle/mahonia go get gopkg.in/mgo.v2 配置conf/...
ansible-golang-stack:Ansible Playbook 用于使用 Supervisor 和 PostgreSQL 设置 Golang 应用程序
06-22
ansible-golang-stack ...一个快速入门的方法使用 Vagrant 和 VirtualBox。 要求 此处要更改的主要设置位于env_vars/base文件中,您可以在其中配置 Git 项目的位置、项目名称和将在整个 Ansible 配置中使用的应用程序
等级保护现场测评工具 - Golin
Spontaneous_0的博客
12-27 1374
弱口令检测漏洞扫描、端口扫描(协议识别,组件识别)、web目录扫描、子域名扫描、等保模拟定级、自动化运维、等保工具(网络安全等级保护现场测评工具)内置3级等保核查命令、基线核查工具
等保测评工具推荐
waitaikong_的博客
09-01 629
TDS(Threat Discovery System)是由安天实验室自主研发的国内首款创新型自动系统安全评测工具。它能够一键操作对内网计算机进行全面的安全保密检查及精准的安全等级判定,并对评测系统进行强有力的分析处置和修复。
安全测试工具
xianjie0318的博客
04-25 857
如果不知道工具账号密码,把鼠标放在工具上面即可显示账号密码信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

路多辛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值