-
为什么要做go安全研究?
工作上我需要审计cncf下的应用,其中有一半以上的项目用到go,自然地需要研究go安全。
感觉java和go目前是后端开发最活跃的两个语言,java安全太卷了,go安全目前还比较"新",所以更倾向于研究go安全。
-
为什么要写本文档?
三个原因:
- 整理自己的思路
- 方法很重要,讨论方法的文档远少于讨论具体技术的文档
- 希望能和读这篇文档的你产生交流
提炼"漏洞模式"
| 具体事项 | 优先级 | 备注 |
|---|---|---|
| 分析真实漏洞案例 | 高 | |
| 分析其他人的研究 | 高 | |
| 分析工具规则 | 高 | codeql规则 |
| 分析CTF题目中的技巧 | 中 | |
| 分析工具报告 | 中 | snyk、lgtm |
| 分析CVE | 低 | go漏洞数据库 |
| 分析CWE | 低 |
| 具体事项 | 备注 |
|---|---|
| 审计项目 | |
| "分层模型"文档 | |
| "漏洞模式"规则 | |
| 制作漏洞环境 | Go漏洞靶场 |
| 给iast工具提供规则 |
| 地址 | 备注 |
|---|---|
| trailofbits公司评估go项目的技术 | 这个公司评估过k8s并且发现不少问题,这个文章只是粗略扫了一眼,待看 |
| 收录go语言编写的框架、组件出现的cve | |
| golang-codereview |