使用gosec工具对golang项目进行安全检查

使用gosec开源工具检查golang代码

• • 1、默认已有go环境
  • 2、新建Go项目，或已有项目，在开发工具中的Terminal窗口，在go.mod目录同层，下载gosec
  • • 2.1、安装此工具其他方法（检查规则也有）
  • 3、模块会下载到环境变量GOPATH路径下的目录，会有三个文件夹，在bin目录下会有实际的gosec.exe
  • 4、控制台直接使用gosec -help查看
  • 4、检查项目安全漏洞
  • • 4.1、直接输出内容到终端
    • 4.2、输出到指定文件
    • 4.3、指定使用规则
  • 5、检查项目结束后会有输出

1、默认已有go环境

查看环境版本，若配置环境变量，在命令提示符窗口查看

go version

2、新建Go项目，或已有项目，在开发工具中的Terminal窗口，在go.mod目录同层，下载gosec

# Go version < 1.16 使用此方法
go get github.com/securego/gosec/v2/cmd/gosec# Go version >=1.16 使用此方法
go install github.com/securego/gosec/v2/cmd/gosec@latest

2.1、安装此工具其他方法（检查规则也有）

https://github.com/securego/gosec#install

3、模块会下载到环境变量GOPATH路径下的目录，会有三个文件夹，在bin目录下会有实际的gosec.exe

4、控制台直接使用gosec -help查看

4、检查项目安全漏洞

4.1、直接输出内容到终端

// 支持的格式有：text, json, yaml, csv, sonarqube, JUnit XML, html
gosec -fmt=json ./... 

4.2、输出到指定文件

// 输出的格式要个文件后缀名匹配
gosec -fmt=json -out=results.json ./... 

4.3、指定使用规则

// 指定使用某几个规则
gosec -include=G101,G203,G401 ./...
// 使用默认所有规则，除了某几个规则
gosec -exclude=G303 ./...

5、检查项目结束后会有输出

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！