对任何项目来说,安全都是一个永恒的话题,本文详细讲解一下保障 Golang 项目的安全性需要遵循一些最佳实践。
定期对源代码和二进制文件进行全面的安全扫描,查找漏洞,以便及早识别出潜在的安全漏洞并进行修复。
可以使用由 Go 漏洞数据库支持的 govulncheck 工具来扫描出代码中的安全漏洞,并分析哪些漏洞会真正有安全隐患。govulncheck 还可以集成到 CI/CD 流水线中,Go团队在 GitHub Marketplace 上为 govulncheck 提供了一个 GitHub Action。govulncheck 还支持 -json 标志,以帮助开发人员将漏洞扫描与其他 CI/CD 系统集成在一起。
也可以结合使用其他静态代码扫描工具,在开发过程中发现可能导致安全漏洞的设计和代码编写错误,来提高代码的质量和安全性。
使用最新的 Golang 版本会有以下好处:
升级 Go 版本时,要注意测试代码的兼容性(包括依赖的三方库)并做好代码审核,确保平稳升级到新版本。
模糊测试是通过数据构造引擎自动构造出(也可以借助开发者提供的初始数据)大量随机数据,作为程序的输入来进行测试的一种方式。模糊测试会监测程序运行过程中是否出现 panic、断言失败、无限循环等异常情况,特别是容易被忽视的边界情况。
之前有写过一篇文章专门讲解 Golang 中的模糊测试,请参考《一文掌握 Golang 模糊测试(Fuzz Testing)》。
并发编程可以提高程序的性能和稳定性,但也带来了一些挑战,如竞态条件。竞态条件是指并发程序中的多个线程同时访问共享资源,导致程序行为不确定的问题。为了避免竞态条件的产生,需要使用同步机制(如互斥锁、条件变量等)来协调线程之间的访问。然而,在复杂的程序中,竞态条件可能难以察觉,因此 Golang 提供了竞态条件检测工具 Race Detector。
race detector 集成在了 golang 的工具链中,当设置了 -race 标志位时,编译器会使用代码记录所有的内存访问,包括访问内存的时间和方式,而运行时库则监控对共享变量的不同步访问情况。当检测到这种竞态行为时,将会打印警告信息。
之前有写过一篇文章专门讲解 Golang 中的 Race Detector,请参考《Go 工具链详解(五):竞态条件检测神器 Race Detector》。
go vet 是一个非常有用的工具,可以帮助开发者在早期阶段发现代码中的问题,这些问题不一定是语法错误,但可能在运行时导致错误。例如无法访问的代码、未使用的变量以及与程序程有关的常见错误。通过在开发过程的早期捕获这些问题,go vet 可以帮助提高代码质量,减少调试时间,并增强整程序的可靠性。
之前有写过一篇文章专门讲解 Golang 中的代码扫描的文章,请参考《赶快使用这些静态扫描工具提高你的 Golang 代码质量!》。
包含安全修复的 Go 版本会预先发布到小批量邮件列表 golang-announce@googlegroups.com。如果想知道 Go 安全修复程序何时发布,可以订阅下。
本文介绍的是 Golang 官方推荐的安全实践,在实践过程中,也可以在这个基础上加入更多的安全实践。