附录B:代码漏洞扫描

125 阅读1分钟

govulncheck

Golang官方为我们提供了一个名为govulncheck的工具来扫描代码中存在漏洞的依赖项,包括Golang自身的标准库以及第三方依赖包的漏洞, 并提供相应的升级方案。

源码地址

你可以在以下的Github地址中找到govulncheck的源码镜像:github.com/golang/vuln

安装govulncheck

govulncheck本身也是一个由Golang编写的程序,所以我们可以直接使用go install命令进行编译安装最新版本,如下所示

go install golang.org/x/vuln/cmd/govulncheck@latest

扫描项目漏洞

当我们安装好govulncheck之后,可以直接在我们自己的Golang项目的根目录中执行以下命令来扫描项目中的代码, 看看是否存在一些已知的漏洞

govulncheck ./...

等扫描完成之后,会输出项目中存在的已知风险项和相应的升级方案,包括升级第三方依赖包或者Golang版本。

为了保证我们系统和数据的安全,建议定时对项目进行安全扫描,因为随着时间的推移,被发现的漏洞会越来越多, 所以即使我们的代码没有发生变更,每一次扫描都可能得到不一样的结果。