Go的全新漏洞检测工具govulncheck来了

已于 2022-09-11 14:33:31 修改
阅读量2.1k 收藏 1
点赞数
分类专栏: golang 文章标签: golang 安全
于 2022-09-11 14:23:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/perfumekristy/article/details/126805018
版权
Go安全团队推出了govulncheck,一款用于检测Go程序安全漏洞的工具。该工具集成到Go的工具链和服务中,通过分析代码仓库来识别影响程序的漏洞。govulncheck依赖于Go的漏洞数据库,该数据库包含来自多个来源的安全信息。尽管存在一些限制,如对低版本二进制文件的不支持和可能的误报,但它为Go开发者提供了一种有效检测代码安全性的新方法。
摘要由CSDN通过智能技术生成

前言

Go安全团队在2022.09.06发布了全新的漏洞检测工具govulncheck,可以帮助我们发现Go程序里的安全漏洞。

本文详细介绍该工具目前的现状以及接下来的功能规划。

Go漏洞检测系统架构

在这里插入图片描述

上图是Go安全团队对于Go代码漏洞检测的系统架构图。

  • 第1步,漏洞采集。Go安全团队会采集众多漏洞数据库,包括公开的漏洞数据库(例如National Vulnerability Database (NVD)GitHub Advisory Database)、社区反馈的Go package漏洞以及Go团队修复过的安全漏洞等。
  • 第2步:更新Go的漏洞数据库。对于第1步里收集到的安全漏洞,Go安全团队会出具评估报告,对报告的漏洞做评审,如果确认是需要处理的会进入到Go的漏洞数据库里。这些漏洞存储的按照 Open Source Vulnerability (OSV) format 格式进行存储,并且可以通过API获取到。
  • 第3步:工具集成。对于新的漏洞处理后,会相应更新 <
最低0.47元/天 解锁文章
coding进阶
关注
专栏目录
crlfuzz:快速扫描Go语言编写的CRLF漏洞的工具
03-19
CRLFuzz 快速扫描Go语言编写的CRLF漏洞的工具 资源 安装 从二进制 安装很容易。您可以从下载预编译的二进制文件,然后解压缩并运行!或搭配 :play_button: curl -sSfL https://git.io/crlfuzz | sh -s -- -b /usr/local/bin 从来源 如果您已经安装并配置了go1.13 +编译器: :play_button: GO111MODULE=on go get -v github.com/dwisiswant0/crlfuzz/cmd/crlfuzz 为了更新该工具,可以将-u标志与go get命令一起使用。 来自GitHub :play_button: git clone https://github.com/dwisiswant0/crlfuzz :play_button: cd crlfuzz/cmd/crlfuzz :play_button: go build . :play_button: mv crlfuzz /usr/local/bin 用法 基
Go新漏洞管理工具: govulncheck
Go中国
09-10 545
我们很高兴地宣布 Go 对漏洞管理的最新支持,这是我们为帮助 Go 开发者了解可能影响他们的已知漏洞而迈出的第一步。这篇文章概述了这个项目的当前状况和后续计划。概览Go 提供的工具可以分析你的代码库并展示出已知的漏洞,该工具由 Go 安全团队设计维护的 Go 漏洞数据库提供支持。Go 只展示代码调用函数中的漏洞,从而减少结果中的噪音。Go 漏洞数据库Go 漏洞数据库(https://vuln.go...
Go漏洞数据库:为Go生态系统保驾护航
最新发布
gitblog_00744的博客
10-10 569
Go漏洞数据库:为Go生态系统保驾护航 vulndb [mirror] The Go Vulnerability Database 项目地址: https://gitcode.com/gh_mirrors/vu/vulndb ...
Golang代码漏洞扫描工具介绍——govulncheck
killer1989的博客
09-15 756
govulncheck是一个命令行工具,帮助Go用户在项目依赖中查找已知的漏洞。该工具可以分析代码库和二进制文件,并通过优先考虑实际调用你代码的函数中的漏洞来减少干扰。
go语言任意代码执行漏洞 cve-2018-6574
whatday的专栏
08-27 1968
前不久,Go官方修复了CVE-2018-6574这个漏洞,这个漏洞又是涉及软件编译环节,和2015年Xcode被污染类似,攻击者可以通过在软件编译环节插入恶意数据从而执行任意代码,虽然原理并不复杂,但有很好的警示意义。 什么是Go语言? Go 是一个Google推出的开源编程语言,它能让构造简单、可靠且高效的软件变得更容易,且有着更高的开发效率和运行性能,因此受到了许多开发者的欢迎。 Go 程序源码 以*.go结尾,通过 go build 编译成native代码。 以最简单的hello worl..
Go Module有漏洞?免费的Go漏洞扫描VSCode插件
woliuqiangdong的博客
01-31 374
  安全很重要,但实际工作中,大家不知不觉会忘记它。我希望通过这篇文章,用上我介绍的工具,你能对安全问题更重视,也更好的规避库的安全漏洞。      作为一个 Go 开发人员,安全问题一样得重视。如果你使用 VSCode,推荐给你一个免费的插件,它能够方便的将有风险的 Go Module 及时告诉你。   这个插件就是 JFrog,在 VSCode 中搜索安装。它能将当前项目使用的公开依赖的实时漏洞信息从 JFrog GoCenter[1] 的元数据中直接引入到源代码编辑器中。这意味着你在首次构建
awesome-golang-security:很棒的Golang安全资源resources
02-05
例如`govulncheck`,它可以检查Go程序的依赖项是否受到公开的Go语言漏洞的影响。 6. **安全最佳实践和指南**: 这部分可能包含文章、博客和文档,指导开发者遵循最佳安全实践,如《Go语言安全编程指南》。 7. **...
【Go语言Docker部署全攻略】:从本地开发到生产环境的终极指南
[Go的Docker支持](https://sunteco.vn/wp-content/uploads/2023/11/Container-orchestration-giai-thich-va-tam0quan-trong-trong-so-quan-ly-ung-dung-1-1024x538.png) # 1. Docker基础知识和安装 ## Docker简介 ...
Go包管理中的安全实践:确保代码依赖安全
Go包是Go语言项目中不可或缺的部分,它们提供代码复用和模块化的核心机制。在Go 1.5版本之前,开发者依赖`GOPATH`来组织和管理包,但这种方式在多项目环境下会造成管理和依赖解决上的不便。Go 1.11引入的Go Modules...
【Go:generate安全守则】:保护生成代码免受注入攻击的安全实践
Go:generate是Go语言中一个强大的工具,它可以自动化地从源代码中生成其他Go文件。它不是Go语言核心包的一部分,但几乎在每个Go项目的构建过程中都扮演着重要的角色。本章将简单介绍Go:generate的使用方法和它在项目...
Golang 程序漏洞检测利器 govulncheck(一):安装和使用方法
路多辛的所思所想
08-31 1609
govulncheck 是一个命令行工具,可以帮助 Golang 开发者快速找到项目代码和依赖的模块中的安全漏洞。该工具可以分析源代码和二进制文件,识别代码中对这些漏洞的任何直接或间接调用。默认情况下,govulncheck 通过 Go 漏洞数据库 https://vuln.go.dev 提供的接口查询相关的模块是否包含漏洞(查询接口的请求只包含模块路径,不包含程序的代码或其他属性)。
golang快速扫描
热门推荐
神棍之路
10-23 7万+
利用golang的并发优势快速扫描端口 Scanner startIp [endIp] port thread package main import ( "flag" "fmt" "net" "os" "strconv" "strings" ) /** 扫描地址 */ var ipAddrs chan string
go 命令行 隐藏密码_Go 语言层出不穷的安全问题
weixin_39859128的博客
12-05 317
英文:Chris Brown,翻译:Go开发大全 - 苦瓜先生根据Go语言的设计,当用户在使用go get命令去下载go包的时候,该命令会在不运行包中任何代码的前提下编译和安装这个包。这种设计的本意是让用户在第三方包不可信的前提下仍然可以安全地下载、编译和安装Go包。理论上讲,对Go工具链来说这似乎短小精悍,但实际上,这种使用模式隐藏着许多问题。go get命令对底层操作做了很多封装,封...
go 中的代码漏洞检查
DisMisPres的博客
07-31 596
govulncheck是go官方提供的一个二进制工具,用于检查go代码或二进制文件是否存在已知的安全漏洞。是go官方提供的一个漏洞检查工具。go团队从多处采集漏洞并存入自己的漏洞库,然后通过工具对代码或二进制文件进行漏洞扫描。很棒的一款工具,建议在日常的开发流程中(CI/CD,代码审查等)引入漏洞检查,能够帮助我们通过go来构建高质量、高安全性的程序。
Golang 程序漏洞检测利器 govulncheck(三):github 集成方法
路多辛的所思所想
10-08 553
上一篇文章详细介绍了 Golang 程序漏洞扫描工具 govulncheck 使用的漏洞数据库(Go vulnerability database),本文详细讲解下 Github 项目如何使用 govulncheckgovulncheckGolang 开发者提供了一种准确可靠的方式来了解程序中可能存在的漏洞。官方也开发了对应的 GitHub Action 来帮助开发者扫描托管在 Github 上的项目。
golang 代码运行trivy扫描本地镜像漏洞
guoguangwu的专栏
01-09 650
golang 代码运行trivy扫描本地镜像漏洞
Go:安全漏洞扫描工具Gosec详解
十年运维开发经验的王义杰在此分享自己的知识和经验
11-25 755
Gosec(之前称为 Gas)是一款开源的 Go 语言安全扫描工具,它能够自动检测 Go 代码中的安全漏洞。Gosec 通过分析 Go 代码的抽象语法树(AST),来识别出潜在的安全问题,如 SQL 注入、未处理的错误、不安全的加密方法等。Gosec 作为一款功能强大的 Go 语言安全扫描工具,可以帮助开发者及时发现并修复代码中的安全漏洞。通过将 Gosec 集成到开发流程中,我们可以大大提高 Go 项目的安全性,确保软件的健康稳定发展。
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 1411
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
Go 代码审计高危漏洞(sqli\cmd\ssrf)
god_Zeo的安全博客
10-30 1404
Go 代码审计高危漏洞 sqli注入 cmd命令执行 ssrf
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值