如何使用gosec檢查Go代碼中的安全問題

這期內(nèi)容當(dāng)中小編將會給大家?guī)碛嘘P(guān)如何使用gosec檢查Go代碼中的安全問題，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

Go 語言 寫的代碼越來越常見，尤其是在容器、Kubernetes 或云生態(tài)相關(guān)的開發(fā)中。Docker 是最早采用 Golang 的項(xiàng)目之一，隨后是  Kubernetes，之后大量的新項(xiàng)目在眾多編程語言中選擇了 Go。

像其他語言一樣，Go 也有它的長處和短處(如安全缺陷)。這些缺陷可能會因?yàn)檎Z言本身的缺陷加上程序員編碼不當(dāng)而產(chǎn)生，例如，C 代碼中的內(nèi)存安全問題。

無論它們出現(xiàn)的原因是什么，安全問題都應(yīng)該在開發(fā)過程的早期修復(fù)，以免在封裝好的軟件中出現(xiàn)。幸運(yùn)的是，靜態(tài)分析工具可以幫你以更可重復(fù)的方式處理這些問題。靜態(tài)分析工具通過解析用某種編程語言寫的代碼來找到問題。

這類工具中很多被稱為 linter。傳統(tǒng)意義上，linter  更注重的是檢查代碼中編碼問題、bug、代碼風(fēng)格之類的問題，它們可能不會發(fā)現(xiàn)代碼中的安全問題。例如， Coverity 是一個(gè)很流行的工具，它可以幫助尋找  C/C++ 代碼中的問題。然而，也有一些工具專門用來檢查源碼中的安全問題。例如， Bandit 可以檢查 Python 代碼中的安全缺陷。而 gosec  則用來搜尋 Go 源碼中的安全缺陷。gosec 通過掃描 Go 的 AST( 抽象語法樹(abstract syntax  tree))來檢查源碼中的安全問題。

開始使用 gosec

在開始學(xué)習(xí)和使用 gosec 之前，你需要準(zhǔn)備一個(gè) Go 語言寫的項(xiàng)目。有這么多開源軟件，我相信這不是問題。你可以在 GitHub 的 熱門 Golang  倉庫 中找一個(gè)。

本文中，我隨機(jī)選了 Docker CE 項(xiàng)目，但你可以選擇任意的 Go 項(xiàng)目。

安裝 Go 和 gosec

如果你還沒安裝 Go，你可以先從倉庫中拉取下來。如果你用的是 Fedora 或其他基于 RPM 的 Linux 發(fā)行版本：

$ dnf install golang.x86_64

如果你用的是其他操作系統(tǒng)，請參照 Golang 安裝 頁面。

使用 version 參數(shù)來驗(yàn)證 Go 是否安裝成功：

$ go version go version go1.14.6 linux/amd64

運(yùn)行 go get 命令就可以輕松地安裝 gosec：

$ go get github.com/securego/gosec/cmd/gosec

上面這行命令會從 GitHub 下載 gosec 的源碼，編譯并安裝到指定位置。在倉庫的 README 中你還可以看到 安裝該工具的其他方法 。

gosec 的源碼會被下載到 $GOPATH 的位置，編譯出的二進(jìn)制文件會被安裝到你系統(tǒng)上設(shè)置的 bin 目錄下。你可以運(yùn)行下面的命令來查看  $GOPATH 和 $GOBIN 目錄：

$ go env | grep GOBIN GOBIN="/root/go/gobin" $ go env | grep GOPATH GOPATH="/root/go"

如果 go get 命令執(zhí)行成功，那么 gosec 二進(jìn)制應(yīng)該就可以使用了：

$ ls -l ~/go/bin/ total 9260 -rwxr-xr-x. 1 root root 9482175 Aug 20 04:17 gosec

你可以把 $GOPATH 下的 bin 目錄添加到 $PATH 中。這樣你就可以像使用系統(tǒng)上的其他命令一樣來使用 gosec  命令行工具(CLI)了。

$ which gosec /root/go/bin/gosec $

使用 gosec 命令行工具的 -help 選項(xiàng)來看看運(yùn)行是否符合預(yù)期：

$ gosec -help gosec - Golang security checker gosec analyzes Go source code to look for common programming mistakes that can lead to security problems. VERSION: dev GIT TAG: BUILD DATE: USAGE:

之后，創(chuàng)建一個(gè)目錄，把源碼下載到這個(gè)目錄作為實(shí)例項(xiàng)目(本例中，我用的是 Docker CE)：

$ mkdir gosec-demo $ cd gosec-demo/ $ pwd /root/gosec-demo $ git clone https://github.com/docker/docker-ce.git Cloning into 'docker-ce'... remote: Enumerating objects: 1271, done. remote: Counting objects: 100% (1271/1271), done. remote: Compressing objects: 100% (722/722), done. remote: Total 431003 (delta 384), reused 981 (delta 318), pack-reused 429732 Receiving objects: 100% (431003/431003), 166.84 MiB | 28.94 MiB/s, done. Resolving deltas: 100% (221338/221338), done. Updating files: 100% (10861/10861), done.

代碼統(tǒng)計(jì)工具(本例中用的是 cloc)顯示這個(gè)項(xiàng)目大部分是用 Go 寫的，恰好迎合了 gosec 的功能。

$ ./cloc /root/gosec-demo/docker-ce/    10771 text files.     8724 unique files.                                               2560 files ignored. ----------------------------------------------------------------------------------- Language                         files          blank        comment           code ----------------------------------------------------------------------------------- Go                                7222         190785         230478        1574580 YAML                                37           4831            817         156762 Markdown                           529          21422              0          67893 Protocol Buffers                   149           5014          16562          10071

使用默認(rèn)選項(xiàng)運(yùn)行 gosec

在 Docker CE 項(xiàng)目中使用默認(rèn)選項(xiàng)運(yùn)行 gosec，執(zhí)行 gosec ./... 命令。屏幕上會有很多輸出內(nèi)容。在末尾你會看到一個(gè)簡短的  “Summary”，列出了瀏覽的文件數(shù)、所有文件的總行數(shù)，以及源碼中發(fā)現(xiàn)的問題數(shù)。

$ pwd /root/gosec-demo/docker-ce $ time gosec ./... [gosec] 2020/08/20 04:44:15 Including rules: default [gosec] 2020/08/20 04:44:15 Excluding rules: default [gosec] 2020/08/20 04:44:15 Import directory: /root/gosec-demo/docker-ce/components/engine/opts [gosec] 2020/08/20 04:44:17 Checking package: opts [gosec] 2020/08/20 04:44:17 Checking file: /root/gosec-demo/docker-ce/components/engine/opts/address_pools.go [gosec] 2020/08/20 04:44:17 Checking file: /root/gosec-demo/docker-ce/components/engine/opts/env.go [gosec] 2020/08/20 04:44:17 Checking file: /root/gosec-demo/docker-ce/components/engine/opts/hosts.go # End of gosec run Summary:    Files: 1278    Lines: 173979    Nosec: 4   Issues: 644 real    0m52.019s user    0m37.284s sys     0m12.734s $

滾動屏幕你會看到不同顏色高亮的行：紅色表示需要盡快查看的高優(yōu)先級問題，黃色表示中優(yōu)先級的問題。

關(guān)于誤判

在開始檢查代碼之前，我想先分享幾條基本原則。默認(rèn)情況下，靜態(tài)檢查工具會基于一系列的規(guī)則對測試代碼進(jìn)行分析，并報(bào)告出它們發(fā)現(xiàn)的所有問題。這是否意味著工具報(bào)出來的每一個(gè)問題都需要修復(fù)?非也。這個(gè)問題最好的解答者是設(shè)計(jì)和開發(fā)這個(gè)軟件的人。他們最熟悉代碼，更重要的是，他們了解軟件會在什么環(huán)境下部署以及會被怎樣使用。

這個(gè)知識點(diǎn)對于判定工具標(biāo)記出來的某段代碼到底是不是安全缺陷至關(guān)重要。隨著工作時(shí)間和經(jīng)驗(yàn)的積累，你會慢慢學(xué)會怎樣讓靜態(tài)分析工具忽略非安全缺陷，使報(bào)告內(nèi)容的可執(zhí)行性更高。因此，要判定  gosec 報(bào)出來的某個(gè)問題是否需要修復(fù)，讓一名有經(jīng)驗(yàn)的開發(fā)者對源碼做人工審計(jì)會是比較好的辦法。

高優(yōu)先級問題

從輸出內(nèi)容看，gosec 發(fā)現(xiàn)了 Docker CE 的一個(gè)高優(yōu)先級問題，它使用的是低版本的 TLS( 傳輸層安全(Transport Layer  Security)())。無論什么時(shí)候，使用軟件和庫的最新版本都是確保它更新及時(shí)、沒有安全問題的最好的方法。

[/root/gosec-demo/docker-ce/components/engine/daemon/logger/splunk/splunk.go:173] - G402 (CWE-295): TLS MinVersion too low. (Confidence: HIGH, Severity: HIGH)     172:   > 173:        tlsConfig := &tls.Config{}     174:

它還發(fā)現(xiàn)了一個(gè)弱隨機(jī)數(shù)生成器。它是不是一個(gè)安全缺陷，取決于生成的隨機(jī)數(shù)的使用方式。

[/root/gosec-demo/docker-ce/components/engine/pkg/namesgenerator/names-generator.go:843] - G404 (CWE-338): Use of weak random number generator (math/rand instead of crypto/rand) (Confidence: MEDIUM, Severity: HIGH)     842: begin:   > 843:        name := fmt.Sprintf("%s_%s", left[rand.Intn(len(left))], right[rand.Intn(len(right))])     844:        if name == "boring_wozniak" /* Steve Wozniak is not boring */ {

中優(yōu)先級問題

這個(gè)工具還發(fā)現(xiàn)了一些中優(yōu)先級問題。它標(biāo)記了一個(gè)通過與 tar 相關(guān)的解壓炸彈這種方式實(shí)現(xiàn)的潛在的 DoS 威脅，這種方式可能會被惡意的攻擊者利用。

[/root/gosec-demo/docker-ce/components/engine/pkg/archive/copy.go:357] - G110 (CWE-409): Potential DoS vulnerability via decompression bomb (Confidence: MEDIUM, Severity: MEDIUM)     356:   > 357:                        if _, err = io.Copy(rebasedTar, srcTar); err != nil {     358:                                w.CloseWithError(err)

它還發(fā)現(xiàn)了一個(gè)通過變量訪問文件的問題。如果惡意使用者能訪問這個(gè)變量，那么他們就可以改變變量的值去讀其他文件。

[/root/gosec-demo/docker-ce/components/cli/cli/context/tlsdata.go:80] - G304 (CWE-22): Potential file inclusion via variable (Confidence: HIGH, Severity: MEDIUM)     79:         if caPath != "" {   > 80:                 if ca, err = ioutil.ReadFile(caPath); err != nil {     81:                         return nil, err

文件和目錄通常是操作系統(tǒng)安全的最基礎(chǔ)的元素。這里，gosec 報(bào)出了一個(gè)可能需要你檢查目錄的權(quán)限是否安全的問題。

[/root/gosec-demo/docker-ce/components/engine/contrib/apparmor/main.go:41] - G301 (CWE-276): Expect directory permissions to be 0750 or less (Confidence: HIGH, Severity: MEDIUM)     40:         // make sure /etc/apparmor.d exists   > 41:         if err := os.MkdirAll(path.Dir(apparmorProfilePath), 0755); err != nil {     42:                 log.Fatal(err)

你經(jīng)常需要在源碼中啟動命令行工具。Go 使用內(nèi)建的 exec 庫來實(shí)現(xiàn)。仔細(xì)地分析用來調(diào)用這些工具的變量，就能發(fā)現(xiàn)安全缺陷。

[/root/gosec-demo/docker-ce/components/engine/testutil/fakestorage/fixtures.go:59] - G204 (CWE-78): Subprocess launched with variable (Confidence: HIGH, Severity: MEDIUM)     58:   > 59:              cmd := exec.Command(goCmd, "build", "-o", filepath.Join(tmp, "httpserver"), "github.com/docker/docker/contrib/httpserver")     60:                 cmd.Env = append(os.Environ(), []string{

低優(yōu)先級問題

在這個(gè)輸出中，gosec 報(bào)出了一個(gè) unsafe 調(diào)用相關(guān)的低優(yōu)先級問題，這個(gè)調(diào)用會繞開 Go 提供的內(nèi)存保護(hù)。再仔細(xì)分析下你調(diào)用 unsafe  的方式，看看是否有被別人利用的可能性。

[/root/gosec-demo/docker-ce/components/engine/pkg/archive/changes_linux.go:264] - G103 (CWE-242): Use of unsafe calls should be audited (Confidence: HIGH, Severity: LOW)     263:        for len(buf) > 0 {   > 264:                dirent := (*unix.Dirent)(unsafe.Pointer(&buf[0]))     265:                bufbuf = buf[dirent.Reclen:] [/root/gosec-demo/docker-ce/components/engine/pkg/devicemapper/devmapper_wrapper.go:88] - G103 (CWE-242): Use of unsafe calls should be audited (Confidence: HIGH, Severity: LOW)     87: func free(p *C.char) {   > 88:         C.free(unsafe.Pointer(p))     89: }

它還標(biāo)記了源碼中未處理的錯(cuò)誤。源碼中出現(xiàn)的錯(cuò)誤你都應(yīng)該處理。

[/root/gosec-demo/docker-ce/components/cli/cli/command/image/build/context.go:172] - G104 (CWE-703): Errors unhandled. (Confidence: HIGH, Severity: LOW)     171:                err := tar.Close()   > 172:                os.RemoveAll(dockerfileDir)     173:                return err

自定義 gosec 掃描

使用 gosec 的默認(rèn)選項(xiàng)會帶來很多的問題。然而，經(jīng)過人工審計(jì)，隨著時(shí)間推移你會掌握哪些問題是不需要標(biāo)記的。你可以自己指定排除和包含哪些測試。

我上面提到過，gosec 是基于一系列的規(guī)則從 Go 源碼中查找問題的。下面是它使用的完整的 規(guī)則 列表：

• G101：查找硬編碼憑證

• G102：綁定到所有接口

• G103：審計(jì) unsafe 塊的使用

• G104：審計(jì)未檢查的錯(cuò)誤

• G106：審計(jì) ssh.InsecureIgnoreHostKey 的使用

• G107: 提供給 HTTP 請求的 url 作為污點(diǎn)輸入

• G108: /debug/pprof 上自動暴露的剖析端點(diǎn)

• G109: strconv.Atoi 轉(zhuǎn)換到 int16 或 int32 時(shí)潛在的整數(shù)溢出

• G110: 潛在的通過解壓炸彈實(shí)現(xiàn)的 DoS

• G201：SQL 查詢構(gòu)造使用格式字符串

• G202：SQL 查詢構(gòu)造使用字符串連接

• G203：在 HTML 模板中使用未轉(zhuǎn)義的數(shù)據(jù)

• G204：審計(jì)命令執(zhí)行情況

• G301：創(chuàng)建目錄時(shí)文件權(quán)限分配不合理

• G302：使用 chmod 時(shí)文件權(quán)限分配不合理

• G303：使用可預(yù)測的路徑創(chuàng)建臨時(shí)文件

• G304：通過污點(diǎn)輸入提供的文件路徑

• G305：提取 zip/tar 文檔時(shí)遍歷文件

• G306: 寫到新文件時(shí)文件權(quán)限分配不合理

• G307: 把返回錯(cuò)誤的函數(shù)放到 defer 內(nèi)

• G401：檢測 DES、RC4、MD5 或 SHA1 的使用

• G402：查找錯(cuò)誤的 TLS 連接設(shè)置

• G403：確保最小 RSA 密鑰長度為 2048 位

• G404：不安全的隨機(jī)數(shù)源(rand)

• G501：導(dǎo)入黑名單列表：crypto/md5

• G502：導(dǎo)入黑名單列表：crypto/des

• G503：導(dǎo)入黑名單列表：crypto/rc4

• G504：導(dǎo)入黑名單列表：net/http/cgi

• G505：導(dǎo)入黑名單列表：crypto/sha1

• G601: 在 range 語句中使用隱式的元素別名

排除指定的測試

你可以自定義 gosec 來避免對已知為安全的問題進(jìn)行掃描和報(bào)告。你可以使用 -exclude 選項(xiàng)和上面的規(guī)則編號來忽略指定的問題。

例如，如果你不想讓 gosec 檢查源碼中硬編碼憑證相關(guān)的未處理的錯(cuò)誤，那么你可以運(yùn)行下面的命令來忽略這些錯(cuò)誤：

$ gosec -exclude=G104 ./... $ gosec -exclude=G104,G101 ./...

有時(shí)候你知道某段代碼是安全的，但是 gosec 還是會報(bào)出問題。然而，你又不想完全排除掉整個(gè)檢查，因?yàn)槟阆胱?gosec  檢查新增的代碼。通過在你已知為安全的代碼塊添加 #nosec 標(biāo)記可以避免 gosec 掃描。這樣 gosec 會繼續(xù)掃描新增代碼，而忽略掉 #nosec  標(biāo)記的代碼塊。

運(yùn)行指定的檢查

另一方面，如果你只想檢查指定的問題，你可以通過 -include 選項(xiàng)和規(guī)則編號來告訴 gosec 運(yùn)行哪些檢查：

$ gosec -include=G201,G202 ./...

掃描測試文件

Go 語言自帶對測試的支持，通過單元測試來檢驗(yàn)一個(gè)元素是否符合預(yù)期。在默認(rèn)模式下，gosec 會忽略測試文件，你可以使用 -tests  選項(xiàng)把它們包含進(jìn)來：

gosec -tests ./...

修改輸出的格式

找出問題只是它的一半功能;另一半功能是把它檢查到的問題以用戶友好同時(shí)又方便工具處理的方式報(bào)告出來。幸運(yùn)的是，gosec  可以用不同的方式輸出。例如，如果你想看 JSON 格式的報(bào)告，那么就使用 -fmt 選項(xiàng)指定 JSON 格式并把結(jié)果保存到 results.json  文件中：

$ gosec -fmt=json -out=results.json ./... $ ls -l results.json -rw-r--r--. 1 root root 748098 Aug 20 05:06 results.json $          {              "severity": "LOW",              "confidence": "HIGH",              "cwe": {                  "ID": "242",                  "URL": "https://cwe.mitre.org/data/definitions/242.html"              },              "rule_id": "G103",              "details": "Use of unsafe calls should be audited",              "file": "/root/gosec-demo/docker-ce/components/engine/daemon/graphdriver/graphtest/graphtest_unix.go",              "code": "304: \t// Cast to []byte\n305: \theader := *(*reflect.SliceHeader)(unsafe.Pointer(\u0026buf))\n306: \theader.      Len *= 8\n",              "line": "305",              "column": "36"          },

用 gosec 檢查容易被發(fā)現(xiàn)的問題

靜態(tài)檢查工具不能完全代替人工代碼審計(jì)。然而，當(dāng)代碼量變大、有眾多開發(fā)者時(shí)，這樣的工具往往有助于以可重復(fù)的方式找出容易被發(fā)現(xiàn)的問題。它對于幫助新開發(fā)者識別和在編碼時(shí)避免引入這些安全缺陷很有用。

上述就是小編為大家分享的如何使用gosec檢查Go代碼中的安全問題了，如果剛好有類似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識，歡迎關(guān)注億速云行業(yè)資訊頻道。