关于 gosec G 的戏剧,或者我如何面对 Go 中的整数转换溢出

go 是一种强类型语言,它可以避免犯错误。

我错误地认为 go 正在处理整数溢出,并报告了错误。

这里是完美的世界,一切都按预期进行

1

2

3

a := int64(42)

b := uint8(a)

fmt.println(b) // 42

登录后复制

那么下面的代码是做什么的

1

2

3

4

5

6

7

a = 255 + 1    // 255 is the higher value an uint8 can reach

b = uint8(a)

fmt.Println(b) // ?

a = -1

b = uint8(a)

fmt.Println(b) // ?

登录后复制

解决方案在这里

剧透:它没有按预期工作,或者至少没有按我们的搭建商城点我wcqh.cn预期工作。

这里 go 进行了静默转换,当然它无法将值存储为提供的整数类型,但完全没有错误。

有后果:cwe-190

想象一下,您通过标识符访问资源,但需要从整数类型转换为另一种类型,您可能允许访问另一个资源。

因此,gosec 是一个专注于提高 go 安全性的 linter,提供了一个 linter 来检测该问题:linter g115

g115 linter 的想法很好。

但不幸的是,它与一些虚假问题合并,除了少数问题外,这些问题现已得到解决。

gosec v2.21.0 合并到 golangci-lint 后问题变得很严重

许多人禁用了 gosec g115,因为它给 ci 带来了误报和噪音

所以现在很多人搭建商城点我wcqh.cn不幸禁用了g115检查器,你可以在github上轻松看到它

以上就是关于 gosec G 的戏剧,或者我如何面对 Go 中的整数转换溢出的详细内容,更多请关注青狐资源网其它相关文章!

© 版权声明
THE END
喜欢就支持一下吧
点赞904 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容