国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁(yè)
  2. >Toy博客

Golang 程序漏洞檢測(cè)利器 govulncheck(一):安裝和使用方法

2年前作者:路多辛分類:Toy博客閱讀(13)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了Golang 程序漏洞檢測(cè)利器 govulncheck(一):安裝和使用方法。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方,請(qǐng)大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問(wèn)。

govulncheck 是什么?

govulncheck 是一個(gè)命令行工具,可以幫助 Golang 開(kāi)發(fā)者快速找到項(xiàng)目代碼和依賴的模塊中的安全漏洞。該工具可以分析源代碼和二進(jìn)制文件,識(shí)別代碼中對(duì)這些漏洞的任何直接或間接調(diào)用。

默認(rèn)情況下,govulncheck 通過(guò) Go 漏洞數(shù)據(jù)庫(kù) https://vuln.go.dev 提供的接口查詢相關(guān)的模塊是否包含漏洞(查詢接口的請(qǐng)求只包含模塊路徑,不包含程序的代碼或其他屬性)。

安裝和使用方法

安裝之前需要將 Go 版本升級(jí)到1.18及以上,使用如下命令安裝最新版本的 govulncheck:

$ go install golang.org/x/vuln/cmd/govulncheck@latest

在項(xiàng)目的主目錄(包含 go.mod 文件的目錄)執(zhí)行如下命令進(jìn)行漏洞掃描:

$ govulncheck ./...

govulncheck 也可以集成到自己的 CI/CD 系統(tǒng)里面,govulncheck 考慮到這方面的需求,所以輸出結(jié)果可以選擇 json 方式,例如:

$ govulncheck -json ./...

如果使用 govulncheck 掃描編譯好的二進(jìn)制文件,需要使用參數(shù) -mode=binary 并跟上二進(jìn)制文件的路徑,例如:

$ govulncheck -mode=binary $HOME/go/bin/my-go-program

默認(rèn)情況下,項(xiàng)目如果不存在漏洞,govulncheck 將成功退出(狀態(tài)碼為0),如果存在漏洞,則返回非0的狀態(tài)碼。如果提供了 -json 參數(shù),無(wú)論檢測(cè)到多少漏洞,都會(huì)成功退出,即狀態(tài)碼為0。

使用 govulncheck 需要注意的點(diǎn)如下:文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-687262.html

  • 被掃描的二進(jìn)制文件要求是使用 Go 1.18 或者更高版本構(gòu)建的。
  • 對(duì)于函數(shù)指針和接口調(diào)用的分析比較保守,在某些情況下可能會(huì)誤報(bào)或者打印不夠準(zhǔn)確的堆棧信息。
  • 使用包反射對(duì)函數(shù)的調(diào)用對(duì)靜態(tài)分析來(lái)說(shuō)是不可見(jiàn)的。對(duì)于僅通過(guò)這些調(diào)用方式可訪問(wèn)到的有漏洞的代碼也不會(huì)報(bào)告漏洞,使用 unsafe 包也可能產(chǎn)生誤報(bào)。
  • 因?yàn)?Go 二進(jìn)制文件不包含詳細(xì)的調(diào)用信息,所以 govulncheck 也無(wú)法顯示檢測(cè)到的漏洞的調(diào)用鏈。對(duì)于二進(jìn)制文件中存在的但無(wú)法訪問(wèn)到的代碼,也可能產(chǎn)生誤報(bào)。
  • 只會(huì)給出當(dāng)前執(zhí)行環(huán)境和配置(GOOS/GOARCH)下的漏洞。假設(shè)一個(gè)漏洞只在 Linux中才有,那么在 Windows 則不會(huì)報(bào)告該漏洞。所以需要注意跨平臺(tái)開(kāi)發(fā)的情況,需要在不同的平臺(tái)做漏洞掃描。另外需要注意的一點(diǎn)時(shí),執(zhí)行掃描的 go 版本需要和運(yùn)行環(huán)境的 go 版本保持一致,假設(shè) Go 1.18 標(biāo)準(zhǔn)庫(kù)里才有的漏洞,如果執(zhí)行掃描使用的 Go 版本是1.19,那么也不會(huì)報(bào)告該漏洞。

到了這里,關(guān)于Golang 程序漏洞檢測(cè)利器 govulncheck(一):安裝和使用方法的文章就介紹完了。如果您還想了解更多內(nèi)容,請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來(lái)自互聯(lián)網(wǎng)用戶投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請(qǐng)注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • Paper:txyz_ai(一款幫助科研人員閱讀PDF論文ChatGPT利器)的簡(jiǎn)介、安裝、使用方法之詳細(xì)攻略

    Paper:txyz_ai(一款幫助科研人員閱讀PDF論文ChatGPT利器)的簡(jiǎn)介、安裝、使用方法之詳細(xì)攻略 目錄 txyz.ai的簡(jiǎn)介 txyz.ai的安裝 1、Web端plug-in安裝步驟圖文教程

    2024年02月08日
    瀏覽(27)

  • Golang 實(shí)現(xiàn)http協(xié)議的心跳檢測(cè)程序

    本文介紹如何使用Golang實(shí)現(xiàn)心跳程序。 實(shí)現(xiàn)心跳程序,其他應(yīng)用可以簡(jiǎn)單集成??蛻舳顺绦蛲ㄟ^(guò)HTTP協(xié)議進(jìn)行檢測(cè),返回當(dāng)前程序狀態(tài)、版本ID以及已運(yùn)行時(shí)間。 首先定義了兩個(gè)變量,CommitHash、StartTime,然后定義結(jié)構(gòu)體HeartbeatMessage封裝返回值。 接著在init方法中給StartTime變量

    2023年04月09日
    瀏覽(30)

  • 寶塔 檢測(cè)到系統(tǒng)已存在mysql 請(qǐng)使用純凈安裝 【有效的解決方法】

    advance2016 于 2023-03-21 14:47:50 發(fā)布 1)以管理員的身份運(yùn)行CMD 執(zhí)行命令: sc delete mysql 1 sc delete mysql 2)清除注冊(cè)表: 在文件資源管理器中輸入“C:Windowsregedit.exe\\\"彈出注冊(cè)表 刪除HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesEventlogApplicationMySQL文件夾 如果能找到如下內(nèi)容,刪除 HKEY_L

    2024年02月07日
    瀏覽(17)

  • 【linux命令講解大全】045.網(wǎng)絡(luò)數(shù)據(jù)分析利器:深度解讀 tcpdump 抓包工具的使用方法

    tcpdump是一款在Linux上的抓包工具,用于嗅探網(wǎng)絡(luò)數(shù)據(jù)。 補(bǔ)充說(shuō)明 tcpdump命令是一款抓包、嗅探器工具。它可以打印所有經(jīng)過(guò)網(wǎng)絡(luò)接口的數(shù)據(jù)包的頭信息,并可使用-w選項(xiàng)將數(shù)據(jù)包保存到文件中,以便以后進(jìn)行分析。 語(yǔ)法 選項(xiàng) -a:嘗試將網(wǎng)絡(luò)和廣播地址轉(zhuǎn)換成名稱 -c 數(shù)據(jù)包數(shù)

    2024年02月10日
    瀏覽(47)
  • 詳細(xì)介紹golang中.()類型斷言的使用方法

    詳細(xì)介紹golang中.()類型斷言的使用方法

    Golang是一門非常流行的編程語(yǔ)言,在很多領(lǐng)域都有著廣泛的應(yīng)用。在開(kāi)發(fā)過(guò)程中,很多時(shí)候我們需要將函數(shù)作為參數(shù)傳遞給其他函數(shù),這時(shí)候就需要用到golang中的.()用法。本文將詳細(xì)介紹golang中.()的使用方法。 在golang中,.()被稱為類型斷言,可以將一個(gè)interface{}類型的變量轉(zhuǎn)

    2024年02月14日
    瀏覽(21)

  • Golang中sync.Pool詳解及使用方法

    sync.Pool是用來(lái)保存可以被重復(fù)使用的臨時(shí)對(duì)象,以便在以后的同類操作中可以重復(fù)使用,從而避免了反復(fù)創(chuàng)建和銷毀臨時(shí)對(duì)象帶來(lái)的消耗以及對(duì)GC造成的壓力。常用池化技術(shù)來(lái)提高程序的性能,例如連接池、線程池等。sync.Pool是并發(fā)安全的,可以在多個(gè)goroutine中并發(fā)調(diào)用sync

    2024年02月02日
    瀏覽(19)

  • Golang單元測(cè)試詳解(一):?jiǎn)卧獪y(cè)試的基本使用方法

    Golang 中的單元測(cè)試是使用標(biāo)準(zhǔn)庫(kù) testing 來(lái)實(shí)現(xiàn)的,編寫一個(gè)單元測(cè)試是很容易的: 創(chuàng)建測(cè)試文件:在 Go 項(xiàng)目的源代碼目錄下創(chuàng)建一個(gè)新的文件(和被測(cè)代碼文件在同一個(gè)包),以 _test.go 為后綴名。例如,要測(cè)試net包中 dial.go 中的方法,在 net 包中創(chuàng)建一個(gè)名字為 dial_test.g

    2024年02月06日
    瀏覽(17)

  • 探索Bug Bounty Dorks:提升安全漏洞挖掘效率的利器

    項(xiàng)目地址:https://gitcode.com/sushiwushi/bug-bounty-dorks Bug Bounty Dorks 是一個(gè)由Sushiwushi維護(hù)的項(xiàng)目,旨在為Bug bounty獵人和網(wǎng)絡(luò)安全研究人員提供一組強(qiáng)大的Google Dorking查詢語(yǔ)句。這些查詢語(yǔ)句可以幫助你發(fā)現(xiàn)潛在的安全漏洞,提高漏洞挖掘的效率,尤其在進(jìn)行Bug Bounty活動(dòng)時(shí)非常有用。

    2024年04月16日
    瀏覽(17)

  • 【Golang星辰圖】數(shù)據(jù)管理利器:Go編程語(yǔ)言中的數(shù)據(jù)庫(kù)和搜索引擎綜合指南

    Go編程語(yǔ)言是一種強(qiáng)大、類型安全且高效的編程語(yǔ)言,它在處理數(shù)據(jù)庫(kù)和搜索引擎方面有著廣泛的應(yīng)用。本篇文章將詳細(xì)介紹幾個(gè)Go編程語(yǔ)言中常用的數(shù)據(jù)庫(kù)和全文搜索引擎,包括Go-bleve、Go-pgx、Go-leveldb/leveldb、Go-xorm、Go-mysql-driver和Go-bbolt/bbolt。對(duì)于每個(gè)工具,我們將介紹其功

    2024年03月26日
    瀏覽(109)
  • Golang漏洞管理

    Golang漏洞管理

    原文在這里 Go幫助開(kāi)發(fā)人員檢測(cè)、評(píng)估和解決可能被攻擊者利用的錯(cuò)誤或弱點(diǎn)。在幕后,Go團(tuán)隊(duì)運(yùn)行一個(gè)管道來(lái)整理關(guān)于漏洞的報(bào)告,這些報(bào)告存儲(chǔ)在Go漏洞數(shù)據(jù)庫(kù)中。各種庫(kù)和工具可以讀取和分析這些報(bào)告,以了解特定用戶項(xiàng)目可能受到的影響。這個(gè)功能集成到pkg.go.dev和一

    2024年02月15日
    瀏覽(15)

覺(jué)得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請(qǐng)作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包