go 中的代码漏洞检查

前言

不知道大家在开发 go 项目中有没有遇到过一些第三方包或者官方包中出现漏洞的问题,这些漏洞可能会影响到代码的功能、性能或者安全性。

现在针对这一问题,go 团队提供了 govulncheck 工具,帮助开发者快速地发现和修复这些漏洞。

什么是 govulncheck

govulncheckgo 官方提供的一个二进制工具,用于检查 go 代码或二进制文件是否存在已知的安全漏洞。

原理

go 安全团队和社区成员共同维护了一个漏洞库 govulndb,收集了从 2018 年推出 go modulego 相关的漏洞信息。

govulncheck 首先会找出代码中使用的模块和包的版本信息,然后通过接口调用漏洞库的最新数据,最后进行数据对比,将受影响的包或模块列举输出。

上图是 go 官博 提供的系统架构图

  1. 漏洞采集。go 安全团队会从多种渠道采集漏洞数据,如公开的漏洞数据库 National Vulnerability Database(NVD) 和 GitHub Advisory Database、社区反馈的 https://go.dev/s/vulndb-report-new(咱们也可以通过这里将在自己发现的漏洞上报)和 go 团队自己修复过的安全漏洞等。
  2. 更新 go 漏洞数据库。搜集到安全漏洞后,go 安全团队会作出评估,若是需要处理的会直接进入漏洞数据库。
  3. 工具集成。对于新的漏洞处理后,会相应更新 pkg.go.dev 上的漏洞说明、发布新的 govulncheck 工具。

基本使用

安装使用相对来说比较简单。

通过命令行下载最新版本的工具

shell 复制代码
go install golang.org/x/vulndb/cmd/govulncheck@latest

然后在需要检查的目录下执行

复制代码
govulncheck ./...

执行后输出结果如下,会给出漏洞信息以及如何修复的建议。

一些局限

  • 扫描二进制文件的安全漏洞时,要求该二进制文件必须是使用 go 1.18 或者更高版本编译的,不支持对低版本编译的二进制文件进行安全漏洞扫描。
  • 不能够展示 go 二进制文件里扫描出来的安全漏洞的调用图(call graph),这是因为 go 二进制文件并不包含详细的调用链信息。对于二进制文件里的代码也可能发生误报。
  • 只会报告 govulncheck 当前执行的 go 编译环境和配置(GOOS/GOARCH)下的漏洞。例:漏洞只在 linux 下存在,但是开发环境是 windows 的跨平台开发,那就可能导致开发环境下不能检测出该漏洞。
  • 假设 go 1.18 标准库里才有的漏洞,如果当前执行 govulncheck 所在的编译环境的 go 版本是 1.19,那也不会报告该漏洞。

详情可见:官博

总结

govulncheckgo 官方提供的一个漏洞检查工具。go 团队从多处采集漏洞并存入自己的漏洞库,然后通过 govulncheck 工具对代码或二进制文件进行漏洞扫描。

很棒的一款工具,建议在日常的开发流程中(CI/CD,代码审查等)引入漏洞检查,能够帮助我们通过 go 来构建高质量、高安全性的程序。

参考

相关推荐
东方窅瞳1 分钟前
MDX语言的云计算
开发语言·后端·golang
honey ball29 分钟前
EMC内参二(1-33页)学习【技术进阶】
开发语言·单片机·嵌入式硬件·学习
程序员老茶33 分钟前
C++:函数
开发语言·c++
我真的不会C38 分钟前
Qt中的多种输出方式,信号与槽的基本使用
开发语言·qt
阿巴阿巴拉1 小时前
Scala相关知识学习总结5
开发语言·学习·scala
雪山青木1 小时前
php-cgi参数注入攻击经历浅谈
开发语言·网络安全·阿里云·php
双叶8361 小时前
(51单片机)矩阵按键密码锁表白(C语言代码编撰)(矩阵按键教程)(LCD1602浅教程)
c语言·开发语言·c++·算法·游戏·矩阵·51单片机
Uncertainty!!1 小时前
在huggingface上制作小demo
开发语言·python·机器学习·huggingface
武帝为此2 小时前
【Java网络编程详解】
java·开发语言·网络
林璟涵2 小时前
Rust语言的系统运维
开发语言·后端·golang