前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >如何使用GoKart对Go代码进行静态安全分析

如何使用GoKart对Go代码进行静态安全分析

作者头像
FB客服
发布2021-11-16 10:12:53
1.9K0
发布2021-11-16 10:12:53
举报
文章被收录于专栏:FreeBufFreeBuf

关于GoKart

GoKart是一款针对Go代码安全的静态分析工具,该工具能够从Go源代码中查找使用了SSA(单一静态分配)形式的代码漏洞。GoKart能够跟踪变量和函数参数的来源,以确定输入源是否安全,与其他Go安全扫描程序相比,GoKart能够有效减少误报的数量。例如,与变量连接的SQL查询传统上可能标记为SQL注入,然而,GoKart可以确定变量实际上是常量还是类似常量的参数,在这种情况下GoKart不会报出漏洞。

工具安装

我们可以使用下列方式之一来安装GoKart。

go install安装

广大研究人员可以使用下列命令安装GoKart:

代码语言:javascript
复制
$ go install github.com/praetorian-inc/gokart@latest

Release安装

首先,我们需要访问该项目的Releases页面,并下载GoKart源码至本地系统。

接下来,我们可以下载checksums.txt文件来验证下载包的完整性:

代码语言:javascript
复制
# Check the checksum of the downloaded archive
$ shasum -a 256 gokart_${VERSION}_${ARCH}.tar.gz
b05c4d7895be260aa16336f29249c50b84897dab90e1221c9e96af9233751f22 
 gokart_${VERSION}_${ARCH}.tar.gz
$ cat gokart_${VERSION}_${ARCH}_checksums.txt | grep gokart_${VERSION}_${ARCH}.tar.gz
b05c4d7895be260aa16336f29249c50b84897dab90e1221c9e96af9233751f22 
 gokart_${VERSION}_${ARCH}.tar.gz
代码语言:javascript
复制
然后,提取已下载好的文档:
代码语言:javascript
复制
$ tar -xvf gokart_${VERSION}_${ARCH}.tar.gz

最后,将GoKart代码移动至我们的运行路径中:

代码语言:javascript
复制
$ mv ./gokart /usr/local/bin/

源码安装

首先,我们需要使用下列命令将该项目源码克隆至本地:

代码语言:javascript
复制
$ git clone https://github.com/praetorian-inc/gokart.git

然后切换至项目根目录,并构建源码:

代码语言:javascript
复制
$ cd gokart
$ go build

最后,将GoKart代码移动至我们的运行路径中:

代码语言:javascript
复制
$ mv ./gokart /usr/local/bin

Docker支持

构建Docker镜像:

代码语言:javascript
复制
docker build -t gokart .

运行容器,并执行本地扫描(本地扫描目录需要加载至容器镜像中):

代码语言:javascript
复制
docker run -v /path/to/scan-dir:/scan-dir gokart scan /scan-dir

运行容器,并执行远程扫描(指定私钥以作认证,并加载至容器中):

代码语言:javascript
复制
docker run gokart scan -r https://github.com/praetorian-inc/gokart
# specifying a private key for private repository ssh authentication
docker run -v /path/to/key-dir/:/key-dir gokart scan -r git@github.com:praetorian-inc/gokart.git -k /key-dir/ssh_key

工具使用

针对当前目录中的Go模块运行GoKart:

代码语言:javascript
复制
# running without a directory specified defaults to '.'
gokart scan <flags>

扫描不同目录中的Go模块:

代码语言:javascript
复制
gokart scan <directory> <flags>

查看帮助信息:

代码语言:javascript
复制
gokart help

项目地址

https://github.com/praetorian-inc/gokart

参考资料

https://www.praetorian.com/blog/introducing-gokart/

https://github.com/praetorian-inc/gokart/releases

https://github.com/Contrast-Security-OSS/go-test-bench

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-11-03,如有侵权请联系 cloudcommunity@tencent.com 删除
https
github
git
开源
容器

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

https
github
git
开源
容器
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
目录
  • 关于GoKart
  • 工具安装
    • go install安装
      • Release安装
        • 源码安装
        • Docker支持
        • 工具使用
        • 项目地址
        • 参考资料
        • https://www.praetorian.com/blog/introducing-gokart/
        • https://github.com/praetorian-inc/gokart/releases
        • https://github.com/Contrast-Security-OSS/go-test-bench
        相关产品与服务
        容器服务
        腾讯云容器服务(Tencent Kubernetes Engine, TKE)基于原生 kubernetes 提供以容器为核心的、高度可扩展的高性能容器管理服务,覆盖 Serverless、边缘计算、分布式云等多种业务部署场景,业内首创单个集群兼容多种计算节点的容器资源管理模式。同时产品作为云原生 Finops 领先布道者,主导开源项目Crane,全面助力客户实现资源优化、成本控制。
        产品介绍产品文档
        618年中盛惠,限时抢
        领券

        腾讯云开发者

        扫码关注腾讯云开发者

        扫码关注腾讯云开发者

        领取腾讯云代金券

        热门产品

        热门推荐

        更多推荐

        Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

        深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

        腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

        问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

        Copyright © 2013 - 2024 Tencent Cloud.

        All Rights Reserved. 腾讯云 版权所有

        登录 后参与评论