2. 程式人生 > 實用技巧 >Go原始碼安全審計工具之gosec

Go原始碼安全審計工具之gosec

阿新 發佈:2020-07-29

gosec分析Go原始碼以查詢可能導致安全問題的常見程式設計錯誤。

它通過掃描Go AST檢查原始碼是否存在安全問題。

https://github.com/securego/gosec

gosec v2.4.0

gosec - Golang security checker

gosec analyzes Go source code to look for common programming mistakes that can lead to security problems.

用法:
    # 檢查單個程式包
    $ gosec $GOPATH/src/github.com/example/project

    # 檢查當前目錄下的所有程式包並將結果儲存為JSON格式
    $ gosec 
 
-fmt=json -out=results.json ./...

    # 執行一組特定的規則 (預設情況下將執行所有的規則):
    $ gosec -include=G101,G203,G401 ./...

    # 執行除了提供的之外的所有規則
    $ gosec -exclude=G101 $GOPATH/src/github.com/example/project/...

選項:
    -conf string          可選配置檔案的路徑
    -confidence string    以低於給定值的置信度篩選出問題 有效選項包括: low, medium, high (default "
 
low")
    -exclude string       以逗號分隔的要排除的規則ID列表 請參閱"規則"列表
    -exclude-dir value    從掃描中排除目錄 可以多次指定
    -fmt string           設定輸出格式 有效選項包括: json, yaml, csv, junit-xml, html, sonarqube, golint or text (default "text")
    -include string       以逗號分隔的要包含的規則ID列表 請參閱"規則"列表
    -log string           將訊息記錄到檔案而不是標準錯誤
    
 
-no-fail              即使發現問題也不要使掃描失敗
    -nosec                設定時忽略"#nosec"註釋
    -nosec-tag string"#nosec"設定替代字串 一些例子: #dontanalyze, #falsepositive
    -out string           設定結果的輸出檔案
    -quiet                僅在發現錯誤時顯示輸出
    -severity string      篩選出嚴重性低於給定值的問題 有效選項包括: low, medium, high (default "low")
    -sort                 按嚴重性對問題進行排序 (default true)
    -tags string          以逗號分隔的構建標記列表
    -tests                掃描測試檔案
    -version              列印版本並退出 退出程式碼為0

規則:
    G101: Look for hardcoded credentials
    G102: Bind to all interfaces
    G103: Audit the use of unsafe block
    G104: Audit errors not checked
    G106: Audit the use of ssh.InsecureIgnoreHostKey function
    G107: Url provided to HTTP request as taint input
    G108: Profiling endpoint is automatically exposed
    G109: Converting strconv.Atoi result to int32/int16
    G110: Detect io.Copy instead of io.CopyN when decompression
    G201: SQL query construction using format string
    G202: SQL query construction using string concatenation
    G203: Use of unescaped data in HTML templates
    G204: Audit use of command execution
    G301: Poor file permissions used when creating a directory
    G302: Poor file permissions used when creation file or using chmod
    G303: Creating tempfile using a predictable path
    G304: File path provided as taint input
    G305: File path traversal when extracting zip archive
    G306: Poor file permissions used when writing to a file
    G307: Unsafe defer call of a method returning an error
    G401: Detect the usage of DES, RC4, MD5 or SHA1
    G402: Look for bad TLS connection settings
    G403: Ensure minimum RSA key length of 2048 bits
    G404: Insecure random number source (rand)
    G501: Import blocklist: crypto/md5
    G502: Import blocklist: crypto/des
    G503: Import blocklist: crypto/rc4
    G504: Import blocklist: net/http/cgi
    G505: Import blocklist: crypto/sha1
    G601: Implicit memory aliasing in RangeStmt

相關推薦

Go原始碼安全審計工具gosec

gosec分析Go原始碼以查詢可能導致安全問題的常見程式設計錯誤。 它通過掃描Go AST檢查原始碼是否存在安全問題。

PHP原始碼安全審計工具WAP

http://awap.sourceforge.net/ WAP是一種原始碼靜態分析和資料探勘工具,用於檢測和糾正用PHP 4.0或更高版本編寫的Web應用程式中的輸入驗證漏洞,且誤報率較低。

golang微服務框架go-micro 入門筆記2.2 micro工具微應用利器micro web

micro web micro 功能非常強大,本文將詳細闡述micro web 命令列的功能 閱讀本文前你可能需要進行如下知識儲備

進行網路安全審計的開源工具

Nmap又名為Zenmap for Mac,是一款免費開源的Mac工具,大家可以將這款Nmap用於網路清單,監視主機和服務正常執行時間,管理服務升級計劃等任務。Nmap旨在使用原始IP資料包來確定網路上可用的主機,這些主機

效能工具Ngrinder原始碼部署

轉載:https://cloud.tencent.com/developer/article/1526398 背景 為了更好了解nGrinder怎麼工作或者為下次二次開發便開啟使用原始碼部署。

免費開源的程式碼審計工具 Gosec 入門使用

技術標籤:python基礎教程python基礎教程 宣告: 本教程是在自己的電腦上本地測試Gosec的效果,所以不涉及其他執行模式,如果想要了解其他模式可以關注後期文件,如果想要自定義交流自定義程式碼掃描規則,可以跟

go官方包依賴管理工具mod

1.1、go mod是什麼go mod 是Golang 1.11 版本引入的官方包(package)依賴管理工具,用於解決之前沒有地方記錄依賴包具體版本的問題,方便依賴包的管理。

原始碼管理工具github介紹

Github簡介   GitHub是一個面向開源及私有軟體專案的託管平臺,因為只支援Git作為唯一的版本庫格式進行託管,故名GitHub。

原始碼管理工具——Gitee

  眾所周知,GitHub伺服器在國外,有時候登陸會非常麻煩,尤其是進行push和pull操作時,經常失敗。對中國使用者極其不友好。幸好,中國就有一款和GitHub類似的程式碼託管中心,即 Gitee,中文名叫碼雲。碼雲是開源

帶你領略Go原始碼的魅力----Go記憶體原理詳解

1、記憶體分割槽 程式碼經過預處理、編譯、彙編、連結4步後生成一個可執行程式。

[系列] - 使用 go modules 包管理工具(一)

概述 我想實現一個開箱即用的 API 框架的輪子,這個輪子是基於 Gin 基礎上開發的。

python自動化工具pywinauto例項詳解

本文例項為大家分享了python自動化工具pywinauto,供大家參考,具體內容如下 一、win環境應用自動化

Python製作簡易版小工具計算天數的實現思路

需求 給定一個日期,格式如 “2020-2-12”,計算出這個日期是 2020 年的第幾天?

sql自動化檢查和分析工具 soar和soar-web 安裝和使用體驗

為了研究一下sql自動化檢查和分析工具,是否有網上介紹的好用,我在本地進行soar 和 soar-web的安裝和使用。

python資料分析工具 matplotlib詳解

不論是資料探勘還是數學建模,都免不了資料視覺化的問題。對於 Python 來說,matplotlib 是最著名的繪相簿,它主要用於二維繪圖,當然也可以進行簡單的三維繪圖。它不但提供了一整套和 Matlab 相似但更為豐富的命令,

JDK14效能管理工具jstack使用介紹

在之前的文章中,我們介紹了JDK14中jstat工具的使用,本文我們再深入探討一下jstack工具的使用。

JDK14效能管理工具Jconsole的使用詳解

我們在開發java專案的時候,或多或少都會去用到Java的效能管理工具。有時候是為了提升應用程式的效能,有時候是為了查詢java應用程式的bug。

10個好用的Web日誌安全分析工具推薦小結

經常聽到有朋友問,有沒有比較好用的web日誌安全分析工具? 首先,我們應該清楚,日誌檔案不但可以幫助我們溯源,找到入侵者攻擊路徑,而且在平常的運維中,日誌也可以反應出很多的安全攻擊行為。

mybatis原始碼配置檔案解析五:解析mappers標籤(解析XML對映檔案)

在上篇文章中分析了mybatis解析<mappers>標籤,《mybatis原始碼配置檔案解析五:解析mappers標籤》重點分析瞭如何解析<mappers>標籤中的<package>子標籤的過程。mybatis解析<mappers>標籤

01 Linux小工具tmux

什麼是tmux 我們在Linux伺服器上的工作一般都是通過一個遠端的終端連線軟體連線到遠端系統進行操作,例如使用xshell或者Xshell工具通過ssh進行遠端連線。在使用過程中,如果要做比較耗時的操作,例如有時候進行編譯,