Go的全新漏洞检测工具govulncheck来了

已于 2022-09-11 14:33:31 修改
阅读量2.1k 收藏 1
点赞数
分类专栏: golang 文章标签: golang 安全
于 2022-09-11 14:23:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/perfumekristy/article/details/126805018
版权
Go安全团队推出了govulncheck,一款用于检测Go程序安全漏洞的工具。该工具集成到Go的工具链和服务中,通过分析代码仓库来识别影响程序的漏洞。govulncheck依赖于Go的漏洞数据库,该数据库包含来自多个来源的安全信息。尽管存在一些限制,如对低版本二进制文件的不支持和可能的误报,但它为Go开发者提供了一种有效检测代码安全性的新方法。
摘要由CSDN通过智能技术生成

前言

Go安全团队在2022.09.06发布了全新的漏洞检测工具govulncheck,可以帮助我们发现Go程序里的安全漏洞。

本文详细介绍该工具目前的现状以及接下来的功能规划。

Go漏洞检测系统架构

在这里插入图片描述

上图是Go安全团队对于Go代码漏洞检测的系统架构图。

  • 第1步,漏洞采集。Go安全团队会采集众多漏洞数据库,包括公开的漏洞数据库(例如National Vulnerability Database (NVD)GitHub Advisory Database)、社区反馈的Go package漏洞以及Go团队修复过的安全漏洞等。
  • 第2步:更新Go的漏洞数据库。对于第1步里收集到的安全漏洞,Go安全团队会出具评估报告,对报告的漏洞做评审,如果确认是需要处理的会进入到Go的漏洞数据库里。这些漏洞存储的按照 Open Source Vulnerability (OSV) format 格式进行存储,并且可以通过API获取到。
  • 第3步:工具集成。对于新的漏洞处理后,会相应更新 <
最低0.47元/天 解锁文章
coding进阶
关注
专栏目录
crlfuzz:快速扫描Go语言编写的CRLF漏洞的工具
03-19
CRLFuzz 快速扫描Go语言编写的CRLF漏洞的工具 资源 安装 从二进制 安装很容易。您可以从下载预编译的二进制文件,然后解压缩并运行!或搭配 :play_button: curl -sSfL https://git.io/crlfuzz | sh -s -- -b /usr/local/bin 从来源 如果您已经安装并配置了go1.13 +编译器: :play_button: GO111MODULE=on go get -v github.com/dwisiswant0/crlfuzz/cmd/crlfuzz 为了更新该工具,可以将-u标志与go get命令一起使用。 来自GitHub :play_button: git clone https://github.com/dwisiswant0/crlfuzz :play_button: cd crlfuzz/cmd/crlfuzz :play_button: go build . :play_button: mv crlfuzz /usr/local/bin 用法 基
log4j2漏洞检测工具
05-07
**Log4j2漏洞检测工具详解** 在当前的IT环境中,安全问题日益凸显,特别是针对开源组件的安全漏洞。Log4j2,一个广泛使用的Java日志框架,最近曝出的重大安全漏洞(CVE-2021-44228,被称为Log4Shell)引起了全球的...
Go新漏洞管理工具: govulncheck
Go中国
09-10 534
我们很高兴地宣布 Go 对漏洞管理的最新支持,这是我们为帮助 Go 开发者了解可能影响他们的已知漏洞而迈出的第一步。这篇文章概述了这个项目的当前状况和后续计划。概览Go 提供的工具可以分析你的代码库并展示出已知的漏洞,该工具由 Go 安全团队设计维护的 Go 漏洞数据库提供支持。Go 只展示代码调用函数中的漏洞,从而减少结果中的噪音。Go 漏洞数据库Go 漏洞数据库(https://vuln.go...
Golang 程序漏洞检测利器 govulncheck(一):安装和使用方法
路多辛的所思所想
08-31 1560
govulncheck 是一个命令行工具,可以帮助 Golang 开发者快速找到项目代码和依赖的模块中的安全漏洞。该工具可以分析源代码和二进制文件,识别代码中对这些漏洞的任何直接或间接调用。默认情况下,govulncheck 通过 Go 漏洞数据库 https://vuln.go.dev 提供的接口查询相关的模块是否包含漏洞(查询接口的请求只包含模块路径,不包含程序的代码或其他属性)。
Golang代码漏洞扫描工具介绍——govulncheck
killer1989的博客
09-15 735
govulncheck是一个命令行工具,帮助Go用户在项目依赖中查找已知的漏洞。该工具可以分析代码库和二进制文件,并通过优先考虑实际调用你代码的函数中的漏洞来减少干扰。
go语言任意代码执行漏洞 cve-2018-6574
whatday的专栏
08-27 1944
前不久,Go官方修复了CVE-2018-6574这个漏洞,这个漏洞又是涉及软件编译环节,和2015年Xcode被污染类似,攻击者可以通过在软件编译环节插入恶意数据从而执行任意代码,虽然原理并不复杂,但有很好的警示意义。 什么是Go语言? Go 是一个Google推出的开源编程语言,它能让构造简单、可靠且高效的软件变得更容易,且有着更高的开发效率和运行性能,因此受到了许多开发者的欢迎。 Go 程序源码 以*.go结尾,通过 go build 编译成native代码。 以最简单的hello worl..
Go Module有漏洞?免费的Go漏洞扫描VSCode插件
woliuqiangdong的博客
01-31 368
  安全很重要,但实际工作中,大家不知不觉会忘记它。我希望通过这篇文章,用上我介绍的工具,你能对安全问题更重视,也更好的规避库的安全漏洞。      作为一个 Go 开发人员,安全问题一样得重视。如果你使用 VSCode,推荐给你一个免费的插件,它能够方便的将有风险的 Go Module 及时告诉你。   这个插件就是 JFrog,在 VSCode 中搜索安装。它能将当前项目使用的公开依赖的实时漏洞信息从 JFrog GoCenter[1] 的元数据中直接引入到源代码编辑器中。这意味着你在首次构建
golang快速扫描
热门推荐
神棍之路
10-23 7万+
利用golang的并发优势快速扫描端口 Scanner startIp [endIp] port thread package main import ( "flag" "fmt" "net" "os" "strconv" "strings" ) /** 扫描地址 */ var ipAddrs chan string
go 命令行 隐藏密码_Go 语言层出不穷的安全问题
weixin_39859128的博客
12-05 310
英文:Chris Brown,翻译:Go开发大全 - 苦瓜先生根据Go语言的设计,当用户在使用go get命令去下载go包的时候,该命令会在不运行包中任何代码的前提下编译和安装这个包。这种设计的本意是让用户在第三方包不可信的前提下仍然可以安全地下载、编译和安装Go包。理论上讲,对Go工具链来说这似乎短小精悍,但实际上,这种使用模式隐藏着许多问题。go get命令对底层操作做了很多封装,封...
goby-漏洞检测工具
02-11
《goby-漏洞检测工具详解》 在网络安全领域,漏洞检测是至关重要的环节,它能够帮助我们及时发现并修复系统中的安全弱点,防止恶意攻击者利用这些漏洞进行破坏。goby是一款专门用于漏洞检测的工具,它以高效、全面...
基于go语言的致远OA漏洞检测工具.zip
05-23
Go语言(也称为Golang)是由Google开发的一种静态强类型、编译型的编程语言。它旨在成为一门简单、高效、安全和并发的编程语言,特别适用于构建高性能的服务器和分布式系统。以下是Go语言的一些主要特点和优势: ...
基于go语言的帆软报表漏洞检测工具.zip
05-23
Go语言(也称为Golang)是由Google开发的一种静态强类型、编译型的编程语言。它旨在成为一门简单、高效、安全和并发的编程语言,特别适用于构建高性能的服务器和分布式系统。以下是Go语言的一些主要特点和优势: ...
goby主机(服务器)漏洞扫描工具
07-22
实战性:关注真正用于实际攻击的漏洞数量,以及漏洞的利用深度(不关注漏洞库的数量) 体系性:打通渗透前,渗透中,以及渗透后的完整流程完整DOM事件收集,自动化触发。 高效性:利用积累的规则库,全自动的实现...
Golang 程序漏洞检测利器 govulncheck(三):github 集成方法
路多辛的所思所想
10-08 542
上一篇文章详细介绍了 Golang 程序漏洞扫描工具 govulncheck 使用的漏洞数据库(Go vulnerability database),本文详细讲解下 Github 项目如何使用 govulncheckgovulncheckGolang 开发者提供了一种准确可靠的方式来了解程序中可能存在的漏洞。官方也开发了对应的 GitHub Action 来帮助开发者扫描托管在 Github 上的项目。
golang 代码运行trivy扫描本地镜像漏洞
guoguangwu的专栏
01-09 624
golang 代码运行trivy扫描本地镜像漏洞
Go:安全漏洞扫描工具Gosec详解
十年运维开发经验的王义杰在此分享自己的知识和经验
11-25 691
Gosec(之前称为 Gas)是一款开源的 Go 语言安全扫描工具,它能够自动检测 Go 代码中的安全漏洞。Gosec 通过分析 Go 代码的抽象语法树(AST),来识别出潜在的安全问题,如 SQL 注入、未处理的错误、不安全的加密方法等。Gosec 作为一款功能强大的 Go 语言安全扫描工具,可以帮助开发者及时发现并修复代码中的安全漏洞。通过将 Gosec 集成到开发流程中,我们可以大大提高 Go 项目的安全性,确保软件的健康稳定发展。
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 1147
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
go 中的代码漏洞检查
DisMisPres的博客
07-31 570
govulncheck是go官方提供的一个二进制工具,用于检查go代码或二进制文件是否存在已知的安全漏洞。是go官方提供的一个漏洞检查工具。go团队从多处采集漏洞并存入自己的漏洞库,然后通过工具对代码或二进制文件进行漏洞扫描。很棒的一款工具,建议在日常的开发流程中(CI/CD,代码审查等)引入漏洞检查,能够帮助我们通过go来构建高质量、高安全性的程序。
Golang】Gin框架:Go语言中的轻量级Web框架
最新发布
景天科技苑
10-17 762
Gin是一个用Go语言编写的高性能HTTP web框架,它提供了快速的HTTP路由、中间件支持以及JSON编码等功能。 Gin框架以其简洁的API和高效的性能著称,非常适合用来构建RESTful API和中小型Web应用。 - **Gin:Go 语言编写的 Web 框架,以更好的性能实现类似 Martini 框架的 API。** - Gin是一个golang的net/http库封装的web微框架,封装比较优雅,API友好,源码注释比较明确。具有快速灵活,容错方便等特点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值