【Golang安全编码】gosec常见规则的解决办法

最新推荐文章于 2024-06-23 22:33:00 发布
置顶 最新推荐文章于 2024-06-23 22:33:00 发布
阅读量5.6k 收藏 3
点赞数 1
分类专栏: Golang
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zjun007/article/details/90699936
版权
本文介绍了在Go语言编程中如何遵循gosec的安全检查规则,包括处理硬编码凭据、避免所有接口绑定、检查unsafe块、错误处理等方面。提供了针对各种警告的解决示例,如使用小写SQL关键字、校验文件路径、升级加密算法等,以提升代码安全性。
摘要由CSDN通过智能技术生成

Secure Go  - A project devoted to secure programming in the Go language,

gosec   - Golang Security Checker为go语言安全编码的github,其默认提供了如下规则。在扫描过程中,我们针对部分中签的规则,找到了一些安全编码的解决办法。

  • 万能解决办法

如果gosec报告已手动验证为安全的,则可以使用如下“#nosec”来注释代码。扫描的时候可通过参数指定忽略该注释代码。个人不建议使用此方法,毕竟代码合规最重要。

import "md5" // #nosec  

func main(){
    /* #nosec */
    if x > y {
        h := md5.New() // this will also be ignored
    }
}

// 以上是不建议使用的。
// 如果使用,你需要执行命令来运行扫描程序以及忽略#nosec注释:$ gosec -nosec=true ./...
  • G101: Look for hard coded credentials
  • G102: Bind to all interfaces
  • G103: Audit the use of unsafe block

  • G104: Audit errors not checked

反例:


                

        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  宵小小沉
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    1
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    3
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  1
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
使用gosec工具对golang项目进行安全检查

				
			

			

				

					chen_221的博客
				

				

					03-23
					
					801
					
				

			

		

		

			
				
查看环境版本,若配置环境变量,在命令提示符窗口查看。

			
		

	



                

              
                



	

		

			

				
					
Go:安全漏洞扫描工具Gosec详解

				
			

			

				

					十年运维开发经验的王义杰在此分享自己的知识和经验
				

				

					11-25
					
					628
					
				

			

		

		

			
				
Gosec(之前称为 Gas)是一款开源的 Go 语言安全扫描工具,它能够自动检测 Go 代码中的安全漏洞。Gosec 通过分析 Go 代码的抽象语法树(AST),来识别出潜在的安全问题,如 SQL 注入、未处理的错误、不安全的加密方法等。Gosec 作为一款功能强大的 Go 语言安全扫描工具,可以帮助开发者及时发现并修复代码中的安全漏洞。通过将 Gosec 集成到开发流程中,我们可以大大提高 Go 项目的安全性,确保软件的健康稳定发展。

			
		

	



                


  
              

                


	

		

			

				
					
Go 编码建议——安全

					
最新发布

				
			

			

				

					Dablelv 的博客专栏。
				

				

					06-23
					
					617
					
				

			

		

		

			
				
进行指针操作时,必须判断该指针是否为 nil,防止程序 panic,尤其在进行结构体Unmarshal 时。在对 slice 进行操作时,必须判断长度是否合法,防止程序 panic。

			
		

	





	

		

			

				
					
Golang安全编码手册-上篇

				
			

			

				

					宵小小沉的专栏
				

				

					02-28
					
					734
					
				

			

		

		

			
				
前言

本手册为go语言开发人员,为提升编码效率和为满足安全编码规范的随手参考书。内容条目以安全编码为主和常易忽视的编码细节为主,来自于以下三个方面的总结:

1、gosec、govet等go语言安全编码扫描工具,的规则的解读;

2、字节跳动、uber等使用go语言较成熟的大厂,的go语言编码规范的一些提取;

3、我们平时工作中对go语言代码走查,达成一致意见的总结。

本手册每个条目,包含条目的目的,为什么这么做以及正例和反例。条目分类开头的关键字,说明如下:

G开头: 表示go语言基本要求的编码

			
		

	



		

			
		



	

		

			

				
					
通过gosec白盒扫描Go代码中的SQL注入

				
			

			

				

					weixin_45945976的博客
				

				

					10-31
					
					459
					
				

			

		

		

			
				
朋友说他们公司近期发现一些SQL注入问题,究其原因还是因为代码中使用了拼接查询,而没有使用参数化查询,而且这种历史遗留问题较难梳理,可能很多都是3-5年前的代码,于是和我了解一种批量白盒审计SQL注入的方法。gosec 是一个静态分析工具,用于扫描 Go 代码以查找潜在的安全问题。它可以识别常见的代码漏洞、敏感信息泄露和其他安全问题,帮助开发人员提前发现并修复潜在的安全隐患。gosec目前通过静态扫描方式,基本满足现有SQL注入场景的检测需求。

			
		

	





	

		

			

				
					
go标准库的学习-crypto/md5

				
			

			

				

					weixin_34377919的博客
				

				

					02-28
					
					175
					
				

			

		

		

			
				
参考:https://studygolang.com/pkgdoc
导入方式:

import "crypto/md5"

md5包实现了MD5哈希算法,参见RFC 1321。

Constants

const BlockSize = 64

MD5字节块大小。

const Size = 16

MD5校验和字节数。
funcSum

func Sum...

			
		

	





	

		

			

				
					
神仙级黑客入门教程(非常详细),从零基础入门到精通,从看这篇开始

				
			

			

				

					z099164的博客
				

				

					02-25
					
					2029
					
				

			

		

		

			
				
黑客怎么入门?这还不简单吗?

			
		

	





	

		

			

				
					
Golang安全编码实践指南.zip

				
			

			

				

					05-25
				

			

		

		

			
				
Golang安全编码实践指南》是一本专注于Go语言安全编程的资源集合,旨在帮助开发者遵循最佳实践,确保代码的安全性和可靠性。在这个压缩包中,我们有两个主要文件:一个名为"说明.txt"的文本文件,可能包含了对指南...

			
		

	





	

		

			

				
					
gosecGolang安全检查器

				
			

			

				

					02-05
				

			

		

		

			
				
gosec-Golang安全检查器 通过扫描Go AST检查源代码是否存在安全问题。 执照 根据Apache许可证2.0版(“许可证”)获得许可。 除非遵守许可,否则您不得使用此文件。 您可以在获得许可的副本。 项目状态 安装 CI安装 ...

			
		

	





	

		

			

				
					
Golang中的规则引擎实现-Golang开发

				
			

			

				

					05-26
				

			

		

		

			
				
“ Gopher掌握规则” Grule导入“ github.com/hyperjumptech/grule-rule-engine” Go的规则引擎是Golang编程语言的规则引擎库。 受著名的JBOSS Drools的启发,完成了“ Gopher掌握规则”,Grule导入了“ github....

			
		

	





	

		

			

				
					
go.sec:golang 安全框架包括 rbac acl 等

				
			

			

				

					06-14
				

			

		

		

			
				
go.sec
 golang 安全框架包括 rbac acl 等。

			
		

	





	

		

			

				
					
'Password' detected in this expression, review this potentially hardcoded credential.

				
			

			

				

					yueguanyun的专栏
				

				

					03-12
					
					1万+
					
				

			

		

		

			
				
今天sonar代码检查出现下面问题:'Password' detected in this expression, review this potentially hardcoded credential.原因分析代码里面有下面语句,打印到日志,这样可能被别人破解System.out.println("decryptPassword=====" + decryptPassword);解决办法换一个...

			
		

	





	

		

			

				
					
这张学习路线图,涵盖Web安全所有知识点,网安小白快拿走

				
			

			

				

					yz_weixiao的博客
				

				

					01-13
					
					464
					
				

			

		

		

			
				
相信你都能从中学到新的知识。

			
		

	





	

		

			

				
					
Cisco Common Service Platform Collector - Hardcoded Credentials(CVE-2019-1723)

				
			

			

				

					weixin_34185512的博客
				

				

					03-14
					
					383
					
				

			

		

		

			
				
Cisco Common Service Platform Collector - Hardcoded Credentials
思科公共服务平台收集器-硬编码凭证(CVE-2019-1723)
https://www.info-sec.ca/advisories/Cisco-Collector.html
概述
  “思科公共服务平台收集器(CSPC)是一个基于snmp的工具,它可以从安装在...

			
		

	





	

		

			

				
					
Golang类型转换和检查

				
			

			

				

					CoLiuRs
				

				

					09-01
					
					507
					
				

			

		

		

			
				
Golang类型转换和检查
包strconv实现与基本数据类型与字符串转换。
如何在Go中将字符串转换为int类型?

ATOI将字符串转换为int类型。将整数转换为十进制字符串形式。
ParseInt解释给定基数(0,2到36)和位大小(0到64)中的字符串s并返回相应的值i。将字符串转换为十进制整数

package main

import "strconv"

func  main () ...

			
		

	





	

		

			

				
					
Python中的subprocess

					
热门推荐

				
			

			

				

					从菜鸟到菜菜鸟
				

				

					05-12
					
					1万+
					
				

			

		

		

			
				
<br />看python的document 自个慢慢琢磨~~,每天花一点时间学习。某某人说要厚积薄发!<br />先看看subprocess是干什么用的:<br />

The subprocess modul allows you to spawn new processes, connect to their input/output/error pipes, and obtain their return codes.<br /><br />

即启用另一个线程,并可获取输入,输出以及错误信

			
		

	





	

		

			

				
					
Golang并发安全Map与分段锁实现详解

				
			

			

				

					
				

			

		

		

			
				
文章提到了Golang原生map的并发不安全性,并介绍了使用sync.Map、分段锁以及CAS操作来解决并发访问问题。  并发安全Map在多线程编程中是至关重要的,确保在多个goroutine同时访问时数据的一致性和完整性。Golang的...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值