Go安全团队在2022.09.06发布了全新的漏洞检测工具govulncheck,可以帮助我们发现Go程序里的安全漏洞。
Go安全团队维护了一个漏洞数据库,地址是https://vuln.go.dev
$ go install golang.org/x/vuln/cmd/govulncheck@latest
$ govulncheck ./...
扫描二进制文件的安全漏洞时,要求该二进制文件必须是使用Go 1.18或者更高版本编译的,不支持对低版本编译的二进制文件进行安全漏洞扫描。
go build -ldflags “-s -w” 编译后扫描不能扫描(只能普通编译go build),出现错误提示:
govulncheck: vulncheck.Binary: unable to load the PCLN table
扫描了一下自己的项目,列出5个可能的漏洞。有时间再分析处理。