GoKart用于保护 Go 代码的静态分析工具-技术圈

GoKart用于保护 Go 代码的静态分析工具

联合创作 · 2023-10-02 02:41

GoKart 是 Go 的静态分析工具，它使用 Go 源代码的 SSA（单一静态分配）形式发现漏洞。它能够跟踪变量和函数参数的来源以确定输入源是否安全，与其他 Go 安全扫描器相比，这减少了误报的数量。例如，与变量连接的 SQL 查询传统上可能会被标记为 SQL 注入；但是，GoKart 可以确定变量实际上是常量还是常量等价物，在这种情况下不存在漏洞。

安装

您可以使用下列任一选项在本地安装 GoKart。

使用 go install 安装



$ go install github.com/praetorian-inc/gokart@latest

安装发布二进制文件

从 Release 页面下载适用于您的操作系统的二进制文件。

（可选）下载checksums.txt文件以验证存档的完整性



# Check the checksum of the downloaded archive

$ shasum -a 256 gokart_${VERSION}_${ARCH}.tar.gz

b05c4d7895be260aa16336f29249c50b84897dab90e1221c9e96af9233751f22  gokart_${VERSION}_${ARCH}.tar.gz



$ cat gokart_${VERSION}_${ARCH}_checksums.txt | grep gokart_${VERSION}_${ARCH}.tar.gz

b05c4d7895be260aa16336f29249c50b84897dab90e1221c9e96af9233751f22  gokart_${VERSION}_${ARCH}.tar.gz

提取下载的存档



$ tar -xvf gokart_${VERSION}_${ARCH}.tar.gz

将gokart二进制文件移动到你的路径中：



$ mv ./gokart /usr/local/bin/

克隆并构建



# clone the GoKart repo

$ git clone https://github.com/praetorian-inc/gokart.git



# navigate into the repo directory and build

$ cd gokart

$ go build



# Move the gokart binary into your path

$ mv ./gokart /usr/local/bin

编辑分享