-
为什么要做go安全研究?
工作上我需要审计cncf下的应用,其中有一半以上的项目用到go,自然地需要研究go安全。
感觉java和go目前是后端开发最活跃的两个语言,java安全太卷了,go安全目前还比较"新",所以更倾向于研究go安全。
-
为什么要写本文档?
三个原因:
- 整理自己的思路
- 方法很重要,讨论方法的文档远少于讨论具体技术的文档
- 希望能和读这篇文档的你产生交流
提炼"漏洞模式"
具体事项 | 优先级 | 备注 |
---|---|---|
分析真实漏洞案例 | 高 | |
分析其他人的研究 | 高 | |
分析工具规则 | 高 | codeql规则 |
分析CTF题目中的技巧 | 中 | |
分析工具报告 | 中 | snyk、lgtm |
分析CVE | 低 | go漏洞数据库 |
分析CWE | 低 |
具体事项 | 备注 |
---|---|
审计项目 | |
"分层模型"文档 | |
"漏洞模式"规则 | |
制作漏洞环境 | Go漏洞靶场 |
给iast工具提供规则 |
地址 | 备注 |
---|---|
trailofbits公司评估go项目的技术 | 这个公司评估过k8s并且发现不少问题,这个文章只是粗略扫了一眼,待看 |
收录go语言编写的框架、组件出现的cve | |
golang-codereview |