保障 Golang 项目安全的最佳实践
对任何项目来说,安全都是一个永恒的话题,本文详细讲解一下保障 Golang 项目的安全性需要遵循一些最佳实践。
对源代码和构建出的二进制文件做全面的安全扫描
定期对源代码和二进制文件进行全面的安全扫描,查找漏洞,以便及早识别出潜在的安全漏洞并进行修复。
可以使用由 Go 漏洞数据库支持的 govulncheck 工具来扫描出代码中的安全漏洞,并分析哪些漏洞会真正有安全隐患。govulncheck 还可以集成到 CI/CD 流水线中,Go团队在 GitHub Marketplace 上为 govulncheck 提供了一个 GitHub Action。govulncheck 还支持 -json 标志,以帮助开发人员将漏洞扫描与其他 CI/CD 系统集成在一起。
也可以结合使用其他静态代码扫描工具,在开发过程中发现可能导致安全漏洞的设计和代码编写错误,来提高代码的质量和安全性。
确保使用最新的 Golang 版本和相关依赖的最新版本
使用最新的 Golang 版本会有以下好处:
- 可以使用到语言的新特性,新版本的 Go 语言会提供新的语言特性、库和工具,可以帮助更高效地编写代码。
- 性能提升,新版本的 Go 语言通常会包含性能优化和改进,可以帮助提高程序性能。
- 安全漏洞修复,新版本的 Go 语言通常会包含安全修复,可以帮助保护代码免受老版本安全漏洞的影响。
- 更好的兼容性,Go 语言遵循向后兼容性原则,也就是新版本的 Go 语言可以运行旧版本的代码。然而,一些过时和不推荐使用的特性可能在新版本中被移除,因此使用新版本可以确保代码不依赖于这些过时的特性。
升级 Go 版本时,要注意测试代码的兼容性(包括依赖的三方库)并做好代码审核,确保平稳升级到新版本。
使用用模糊测试来发现边界问题
模糊测试是通过数据构造引擎自动构造出(也可以借助开发者提供的初始数据)大量随机数据,作为程序的输入来进行测试的一种方式。模糊测试会监测程序运行过程中是否出现 panic、断言失败、无限循环等异常情况,特别是容易被忽视的边界情况。
之前有写过一篇文章专门讲解 Golang 中的模糊测试,请参考《一文掌握 Golang 模糊测试(Fuzz Testing)》。
使用 Race Detector 检测竞态条件
并发编程可以提高程序的性能和稳定性,但也带来了一些挑战,如竞态条件。竞态条件是指并发程序中的多个线程同时访问共享资源,导致程序行为不确定的问题。为了避免竞态条件的产生,需要使用同步机制(如互斥锁、条件变量等)来协调线程之间的访问。然而,在复杂的程序中,竞态条件可能难以察觉,因此 Golang 提供了竞态条件检测工具 Race Detector。
race detector 集成在了 golang 的工具链中,当设置了 -race 标志位时,编译器会使用代码记录所有的内存访问,包括访问内存的时间和方式,而运行时库则监控对共享变量的不同步访问情况。当检测到这种竞态行为时,将会打印警告信息。
之前有写过一篇文章专门讲解 Golang 中的 Race Detector,请参考《Go 工具链详解(五):竞态条件检测神器 Race Detector》。
使用 vet 工具检查潜在的错误
go vet 是一个非常有用的工具,可以帮助开发者在早期阶段发现代码中的问题,这些问题不一定是语法错误,但可能在运行时导致错误。例如无法访问的代码、未使用的变量以及与程序程有关的常见错误。通过在开发过程的早期捕获这些问题,go vet 可以帮助提高代码质量,减少调试时间,并增强整程序的可靠性。
之前有写过一篇文章专门讲解 Golang 中的代码扫描的文章,请参考《赶快使用这些静态扫描工具提高你的 Golang 代码质量!》。
订阅 golang-announce 来及时获得安全版本的通知
包含安全修复的 Go 版本会预先发布到小批量邮件列表 golang-announce@googlegroups.com。如果想知道 Go 安全修复程序何时发布,可以订阅下。
小结
本文介绍的是 Golang 官方推荐的安全实践,在实践过程中,也可以在这个基础上加入更多的安全实践。
相关文章:
保障 Golang 项目安全的最佳实践
对任何项目来说,安全都是一个永恒的话题,本文详细讲解一下保障 Golang 项目的安全性需要遵循一些最佳实践。 对源代码和构建出的二进制文件做全面的安全扫描 定期对源代码和二进制文件进行全面的安全扫描,查找漏洞,以便及早识别…...
PG物理备份与恢复之pg_basebackup
PG物理备份与恢复之pg_basebackup 开启WAL日志归档pg_basebackup备份工具全库恢复:recovery.conf 🐘 数据库版本:PostgreSQL 10.4 开启WAL日志归档 通过数据库的全量备份和WAL日志,可以将数据库恢复到任意时间点。每个WAL日志文件…...
npm : 无法将“npm”项识别为 cmdlet、函数、脚本文件或可运行程序的名称。请检查名称的拼写,如果包括路径,请确保路径正确,然后再试一次。
1 bug描述 使用vscode执行npm run dev指令时出现 “npm : 无法将“npm”项识别为 cmdlet、函数、脚本文件或可运行程序的名称。请检查名称的拼写,如果包括路径,请确保路径正确,然后再试一次 “ 的错误提示,原因是系统里没有安装n…...
Android 13.0 通过驱动实现禁用usb鼠标和usb键盘功能
1.概述 在13.0的系统产品定制化开发中,在进行定制中有关于usb键盘和usb鼠标的需求中,产品要求禁止usb口挂载usb鼠标和usb键盘,所以需要要求在usb挂载类型的时候 判断如果是usb鼠标和usb键盘就不让挂载,这就需要从驱动方面入手来解决这个问题,接下来看下驱动的某些挂载usb…...
Ubuntu 22.04配置/etc/rc.local开机自启文件
1.查看系统版本 rootbogon-virtual-machine:~# lsb_release -a No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 22.04 LTS Release: 22.04 Codename: jammy rootbogon-virtual-machine:~ 2. 解决 /etc/rc.local 开机启动问题 看rc-loc…...
python爬虫之正则表达式解析实战
文章目录 1. 图片爬取流程分析2. 实现代码—爬取家常菜图片 1. 图片爬取流程分析 先获取网址,URL:https://www.xiachufang.com/category/40076/ 定位想要爬取的内容使用正则表达式爬取导入模块指定URLUA伪装(模拟浏览器)发起请求…...
什么是虚拟dom?
虚拟DOM是利用js描述元素与元素的关系,用js对象来表示真实的dom树结构,创建一个虚拟的dom对象。 虚拟DOM的原理是根据真实DOM生成一个js对象,里面有元素、属性和文本,这些与真实DOM中的元素、属性、文本一一对应。虚拟DOM可以更好…...
大数据学习(18)-任务并行度优化
&&大数据学习&& 🔥系列专栏: 👑哲学语录: 承认自己的无知,乃是开启智慧的大门 💖如果觉得博主的文章还不错的话,请点赞👍收藏⭐️留言📝支持一下博主哦ᾑ…...
C++学习笔记之四(标准库、标准模板库、vector类)
C 1、C标准库2、C标准模板库2.1、vector2.1.1、vector与array2.1.2、vector与函数对象2.1.3、vector与迭代器2.1.4、vector与算法 1、C标准库 C C C标准库指的是标准程序库( S t a n d a r d Standard Standard L i b a r a y Libaray Libaray),它定义了十个大类…...
IDEA部署SSM项目mysql数据库MAVEN项目部署教程
如果 SSM 项目是基于 Maven 构建的,则需要配置 maven 环境,否则跳过这一步 步骤一:配置 Maven 第一步:用 IDEA 打开项目,准备配置 maven 环境 ,当然如果本地没有提前配置好 maven,就用 IDEA 默…...
uniapp 将流转化为视频并播放 微信小程序
该问题最关键的一步是将后端传回来的流,转化成视频,并播放。 1、从服务器请求数据流到前端 2、新建一个临时文件,将数据流写入这个文件里面,并自定义路径命名。 const fs wx.getFileSystemManager(); //获取全局唯一的文件管理…...
【软考】系统集成项目管理工程师(十)项目质量管理【3分】
一、质量概念 1、定义 国际:反应实体满足主体明确和隐含需求的能力的特性总和 国内:一组固有特性满足要求的程度 2、质量与等级 质量:作为实现的性能或成果,是一系列内在特性满足要求的程度ISO9000 等级:作为设计意…...
七层负载均衡 HAproxy
一、HAproxy 1、负载均衡类型: (1) 无负载均衡: 没有负载均衡,用户直接连接到 Web 服务器。当许多用户同时访问服务器时,可能无法连接。 (2) 四层负载均衡: 用户访问负载均衡器,负载均衡器将用户的请求…...
SQL SELECT TOP, LIMIT, ROWNUM
SQL SELECT TOP 子句 SELECT TOP 子句用于指定要返回的记录数量。 SELECT TOP子句在包含数千条记录的大型表上很有用。返回大量记录会影响性能。 注:并不是所有的数据库系统都支持SELECT TOP子句。MySQL支持LIMIT子句来选择有限数量的记录,而Oracle使用…...
vue3-admin-element框架登录如何修改?
1、找到vite.config.js文件 配置反向代理 2、找到src文件下的user.js文件 3、找到views文件下的login文件 打开找到comp文件夹找到LoginFrom.vue页面进去 把这个改成自己的账户数据(密码不一致自行更改) 4、找到store文件下的modules下的user.js 5、找到…...
基于mysql的请假系统,java/springboot/jsp/javaweb/tomcat
系统分为 学生/辅导员/超级管理员 登录注册、修改头像、个人资料。 学生登录可以提交请假申请。 辅导员登录可以管理学生信息、管理班级信息、管理课程信息。 超级管理员登陆可以管理用户信息、管理学生信息、管理辅导员信息、管理班级信息、管理二级学院信息、管理课程信息、…...
【Python机器学习】零基础掌握partial_dependence检验、检查
在医疗健康的领域,有一个问题一直困扰着专家——如何从多个健康指标中找出影响患者健康最关键的因素?在这样的场景下,做出准确的预测非常关键,因为它直接关联到患者的生命安全。 解决这一问题的一个有效方法是利用机器学习算法,具体来说就是通过偏依赖图(Partial Depend…...
前端Vue页面中如何展示本地图片
<el-table :data"tableData" stripe style"width: 100%"><el-table-column prop"imgUrl" label"图片"><template v-slot"scope"><img :src "http://localhost:8888/image/ scope.row.imgUrl&qu…...
基于PHP的图像分享社交平台
有需要请加文章底部Q哦 可远程调试 基于PHP的图像分享社交平台 一 介绍 此图像分享社交平台基于原生PHP开发,数据库mysql,前端bootstrap。平台角色分为用户和管理员。用户可注册登录,发布图像,修改个人信息,评论图像…...
【算法|动态规划No.31 | 01背包问题】01背包模板题
个人主页:兜里有颗棉花糖 欢迎 点赞👍 收藏✨ 留言✉ 加关注💓本文由 兜里有颗棉花糖 原创 收录于专栏【手撕算法系列专栏】【LeetCode】 🍔本专栏旨在提高自己算法能力的同时,记录一下自己的学习过程,希望…...
Pixel Couplet Gen快速部署:微信小程序端调用像素春联API的跨域与性能优化
Pixel Couplet Gen快速部署:微信小程序端调用像素春联API的跨域与性能优化 1. 项目背景与核心价值 Pixel Couplet Gen是一款基于ModelScope大模型驱动的创新春联生成器,将传统春节文化与现代像素艺术完美融合。不同于传统春联生成工具,该项…...
【bilibili-downloader】:突破4K画质限制的B站视频下载工具:给视频收藏爱好者的高效解决方案
【bilibili-downloader】:突破4K画质限制的B站视频下载工具:给视频收藏爱好者的高效解决方案 【免费下载链接】bilibili-downloader B站视频下载,支持下载大会员清晰度4K,持续更新中 项目地址: https://gitcode.com/gh_mirrors/…...
基于S7-1200PLC的物业供水控制系统设计》 PLC触摸屏,图纸,博图16 一、设计任务书...
基于S7-1200PLC的物业供水控制系统设计》 PLC触摸屏,图纸,博图16 一、设计任务书 1.自动工作时,当用水量少,压力增高,K 接通,此时可延时30s后撤除1台水泵工作,要求先工作的水泵先切断;当用水量多时,压力降低…...
企业级“衣依”服装销售平台管理系统源码|SpringBoot+Vue+MyBatis架构+MySQL数据库【完整版】
💡实话实说:有自己的项目库存,不需要找别人拿货再加价,所以能给到超低价格。摘要 随着电子商务的快速发展,服装行业对高效、智能化的销售管理平台需求日益增长。传统的线下销售模式在库存管理、订单处理及客户服务等方…...
微型LoRa数传电台:5KM无线通讯,空旷实测无压力
微型LoRa数传电台的通讯距离没有固定数值,从几十米到十几公里都有可能。它强烈依赖于具体的工作环境、设备配置以及天线状况。 一、不同环境下通讯距离: 理想环境 (郊区、农田、沙漠、海上)下3 - 10 公里,收发天线间无任何遮挡,是…...
Megatron-LM源码解析:Tensor与Sequence并行训练中的通信优化策略
1. Megatron-LM并行训练基础概念 在分布式训练领域,Megatron-LM已经成为大规模语言模型训练的事实标准框架。我第一次接触这个框架时,就被它精妙的并行设计所震撼。Tensor并行和Sequence并行是其中两种核心并行策略,理解它们的通信机制对优化…...
SecGPT-14B模型量化:降低OpenClaw长期运行的Token消耗
SecGPT-14B模型量化:降低OpenClaw长期运行的Token消耗 1. 为什么需要量化SecGPT-14B模型 当我第一次在OpenClaw项目中接入SecGPT-14B模型时,就被它的安全分析能力惊艳到了。这个模型能精准识别代码漏洞、异常网络请求和各种安全威胁,让我的…...
UniApp项目实战:手把手教你用云函数搞定UniPush 2.0服务端消息推送
UniPush 2.0云函数实战:从零构建高可用消息推送系统 在移动应用生态中,消息推送是维系用户活跃度的关键触达手段。UniPush 2.0作为DCloud推出的新一代推送服务,通过云函数与厂商通道的深度整合,解决了传统推送方案中离线到达率低、…...
Redacted Font版本演进历史:从初版到现在的完整功能升级指南
Redacted Font版本演进历史:从初版到现在的完整功能升级指南 【免费下载链接】redacted-font Keep your wireframes free of distracting Lorem Ipsum. 项目地址: https://gitcode.com/gh_mirrors/re/redacted-font Redacted Font是一款专为UI/UX设计师和前端…...
如何用MCQTSS_QQMusic解决音乐资源获取难题?3大技术突破实现无损下载
如何用MCQTSS_QQMusic解决音乐资源获取难题?3大技术突破实现无损下载 【免费下载链接】MCQTSS_QQMusic QQ音乐解析 项目地址: https://gitcode.com/gh_mirrors/mc/MCQTSS_QQMusic 在数字音乐时代,QQ音乐作为国内领先的音乐平台,拥有海…...