GosecGolang 安全檢查器

Gosec 是一個 Golang 安全檢查器，通過掃描 Go AST 來檢查源代碼的安全問題。

Gosec 可以被配置為只運行一個規(guī)則子集，排除某些文件路徑，并產(chǎn)生不同格式的報告。默認情況下，所有的規(guī)則都是針對所提供的輸入文件運行的。要從當(dāng)前目錄進行遞歸掃描，你可以提供./...作為輸入?yún)?shù)。

Available rules

• G101：查找硬編碼憑據(jù)
• G102：綁定到所有接口
• G103：審計不安全塊的使用
• G104：未檢查審計錯誤
• G106：審計 ssh.InsecureIgnoreHostKey 的使用
• G107：作為污點輸入提供給 HTTP 請求的 URL
• G108：分析端點自動暴露在 /debug/pprof
• G109：strconv.Atoi 結(jié)果轉(zhuǎn)換為 int16/32 造成的潛在整數(shù)溢出
• G110：通過解壓炸彈的潛在 DoS 漏洞
• G201：使用格式字符串構(gòu)建 SQL 查詢
• G202：使用字符串連接的 SQL 查詢構(gòu)造
• G203：在 HTML 模板中使用未轉(zhuǎn)義數(shù)據(jù)
• G204：審計命令執(zhí)行的使用
• G301：創(chuàng)建目錄時使用的文件權(quán)限較差
• G302：與 chmod 一起使用的文件權(quán)限較差
• G303：使用可預(yù)測的路徑創(chuàng)建臨時文件
• G304：作為污點輸入提供的文件路徑
• G305：解壓 zip/tar 存檔時的文件遍歷
• G306：寫入新文件時使用的文件權(quán)限較差
• G307：推遲返回錯誤的方法
• G401：檢測DES、RC4、MD5或SHA1的使用
• G402：查找錯誤的 TLS 連接設(shè)置
• G403：確保最小 RSA 密鑰長度為 2048 位
• G404：不安全的隨機數(shù)源（rand）
• G501：導(dǎo)入阻止列表：crypto/md5
• G502：導(dǎo)入阻止列表：crypto/des
• G503：導(dǎo)入阻止列表：crypto/rc4
• G504：導(dǎo)入阻止列表：net/http/cgi
• G505：導(dǎo)入阻止列表：crypto/sha1
• G601：范圍語句中項目的隱式內(nèi)存別名

Retired rules

• G105：審計 math/big.Int.Exp 的使用 - CVE 已修復(fù)