vendor模式即在每个项目都创建一个vendor目录,用来存储本项目依赖的第三方模块的包或库文件。
全局模式即在操作系统的某个全局目录(一般是用户家目录里的某个子目录或者操作系统的某个系统目录)里,存储第三方模块的包或库文件,可以被多个项目共用,优点是相对于vendor模式节省存储空间。
都说PHP项目上线速度快,最大原因是PHP项目可以热更新热部署,通过FTP把整个PHP项目的源代码文件上传到服务器就部署好了,都不用重启Web服务器软件的。但是如果使用全局模式就会破坏这种方便的部署方式,因为你把PHP项目的源代码文件上传到服务器后,要么你还要把全局目录上传到服务器,要么你还需要在服务器运行composer命令安装本项目所缺的依赖项。使用vendor模式,就没有这个烦恼了。
Composer包管理器使用vendor模式,而非全局模式,应该就是出于这点考虑。像Go的go get、Java的maven、Node.js的npm、Python的pip使用全局模式,是因为它们无法做到像PHP那样热更新热部署Web项目。
如果在执行PHP相关命令时,看到一条警告消息:
PHP Warning: Module ‘curl‘ already loaded in Unknown on line 0
那是由于curl模块已经被PHP标准库内建了,如果在/etc/php/8.2/fpm/php.ini和/etc/php/8.2/fpm/conf.d/20-curl.ini两处配置文件里又启用了curl扩展,就会报这个警告。
解决方法是在这两个配置文件中都不启用curl扩展,就是使用;号注释掉extension=curl.so这行。修改了配置文件记得重启php-fpm服务,最后只要在php -m命令的输出中看到curl了,就说明已启用curl扩展。
本文翻译自《Security》。
此页面为Go开发人员提供一些资源,以提高Go项目的安全性。
(另请参阅:Go开发人员应该知道的Go项目安全最佳实践。)
查找并修复已知的安全漏洞
Go的漏洞检测旨在为开发人员提供低噪声、可靠的工具,以了解可能影响其项目的已知漏洞。有关概述,请从Go漏洞管理体系架构和常见问题页面开始。对于应用方法,请探索以下工具。
使用govulcheck扫描代码以查找漏洞
开发人员可以使用govulcheck工具来确定是否有任何已知的漏洞会影响他们的代码,并根据实际调用的有安全漏洞的函数和方法来确定下一步先做什么。
在编辑器中检测漏洞
VS Code Go扩展可以检查第三方依赖项并发现相关漏洞。
查找你的项目用到的Go模块
Pkg.go.dev是一个用于发现、评估和学习有关go包和模块的更多信息的网站。在pkg.go.dev上发现和评估go包时,如果该版本存在漏洞,你会在页面顶部看到一条横幅。此外,你可以在go包的版本历史页面上看到影响某个版本的它的安全漏洞有哪些。
浏览安全漏洞数据库
Go漏洞数据库直接从Go包维护者以及MITRE和GitHub等外部来源收集数据。报告由Go Security团队策划。
报告Go项目中的安全漏洞
有关如何报告Go项目中的安全漏洞的说明,请参阅Go安全策略。该文章还详细介绍了Go安全团队跟踪问题并向公众披露的过程。有关过去的修复安全漏洞的记录的详细信息,请参阅发布历史记录。根据发布策略,我们在Go包的两个最新主版本上进行安全修复。
使用模糊测试发现意外输入
Go原生提供的模糊测试是一种自动测试,它不断地往程序的入数据来发现Bug。从Go 1.18开始,标准工具链加入模糊测试工具。也可以使用OSS fuzz,它支持原生的Go模糊测试。
使用Go的加密库提供的安全服务
Go的加密库旨在帮助开发人员构建安全的应用程序。请参阅有关加密的Go包和golang.org/x/crypto/的文档。
本文翻译自《Tutorial: Find and fix vulnerable dependencies with govulncheck》。
Govulncheck是一个低噪音的工具,可以帮助你发现并修复Go项目中易受攻击的依赖项。它通过扫描项目的依赖项以查找已知的漏洞,并识别出对这些漏洞的任何直接或间接调用的项目代码。
在本教程中,你将学习如何使用govulcheck扫描一个简单的程序以查找漏洞,如何对漏洞进行优先级排序和评估,以便首先集中精力修复最重要的漏洞。
要了解更多关于govulcheck的信息,请参阅govulceck文档和这篇关于Go漏洞管理的博客文章。我们也很乐意听取你的反馈。
先决条件
本教程将带你完成以下步骤:
1 创建一个Go模块示例,它的某个依赖项有漏洞
2 安装并运行govulcheck
3 评估漏洞 4 升级并修复有漏洞的依赖项
创建一个Go模块示例
步骤1,首先,创建一个名为vulntutorial的新文件夹并初始化Go模块。例如,从当前目录运行以下命令:
$ mkdir vuln-tutorial
$ cd vuln-tutorial
$ go mod init vuln.tutorial步骤2,在vuln-tutorial文件夹中创建一个名为main.go的文件,并将以下代码复制到其中:
package main
import (
"fmt"
"os"
"golang.org/x/text/language"
)
func main() {
for _, arg := range os.Args[1:] {
tag, err := language.Parse(arg)
if err != nil {
fmt.Printf("%s: error: %v\n", arg, err)
} else if tag == language.Und {
fmt.Printf("%s: undefined\n", arg)
} else {
fmt.Printf("%s: tag %s\n", arg, tag)
}
}
}此示例程序将语言标签的一个列表作为命令行参数,并为每个标签打印一条消息,指示标签是否解析成功、是否未定义或者解析标签时是否出错。
步骤3,运行go mod tidy命令,把main.go的代码所需的所有依赖项记录到go.mod文件。在vuln-tutorial文件夹所在目录,运行以下命令:
$ go mod tidy你应该能看到类似如下输出:
go: finding module for package golang.org/x/text/language
go: downloading golang.org/x/text v0.9.0
go: found golang.org/x/text/language in golang.org/x/text v0.9.0第4步,打开go.mod文件,它的内容应该如下所示:
module vuln.tutorial
go 1.20
require golang.org/x/text v0.9.0第5步,降级golang.org/x/text依赖项的版本到v0.3.5,这个版本包含一个众所周知的安全漏洞:
$ go get golang.org/x/[email protected]你应该能看到类似如下输出:
go: downgraded golang.org/x/text v0.9.0 => v0.3.5打开go.mod文件,它的内容应该如下所示:
module vuln.tutorial
go 1.20
require golang.org/x/text v0.3.5接下来我们使用govulncheck来发现vuln-tutorial项目中的安全漏洞。
安装并运行govulncheck
第6步,使用go install命令安装govulncheck:
$ go install golang.org/x/vuln/cmd/govulncheck@latest第7步,在vuln-tutorial目录里运行govulncheck来分析vuln-tutorial项目中的安全漏洞:
$ govulncheck ./...你应该会看到如下输出:
govulncheck is an experimental tool. Share feedback at https://go.dev/s/govulncheck-feedback.
Using go1.20.3 and [email protected] with
vulnerability data from https://vuln.go.dev (last modified 2023-04-18 21:32:26 +0000 UTC).
Scanning your code and 46 packages across 1 dependent module for known vulnerabilities...
Your code is affected by 1 vulnerability from 1 module.
Vulnerability #1: GO-2021-0113
Due to improper index calculation, an incorrectly formatted
language tag can cause Parse to panic via an out of bounds read.
If Parse is used to process untrusted user inputs, this may be
used as a vector for a denial of service attack.
More info: https://pkg.go.dev/vuln/GO-2021-0113
Module: golang.org/x/text
Found in: golang.org/x/[email protected]
Fixed in: golang.org/x/[email protected]
Call stacks in your code:
main.go:12:29: vuln.tutorial.main calls golang.org/x/text/language.Parse
=== Informational ===
Found 1 vulnerability in packages that you import, but there are no call
stacks leading to the use of this vulnerability. You may not need to
take any action. See https://pkg.go.dev/golang.org/x/vuln/cmd/govulncheck
for details.
Vulnerability #1: GO-2022-1059
An attacker may cause a denial of service by crafting an
Accept-Language header which ParseAcceptLanguage will take
significant time to parse.
More info: https://pkg.go.dev/vuln/GO-2022-1059
Found in: golang.org/x/[email protected]
Fixed in: golang.org/x/[email protected]解释一下上述输出
注意,不同Go版本,上述输出可能不同。
我们的代码受到漏洞GO-2021-0113的影响,因为它直接调用golang.org/x/text/language的Parse函数,而这个函数在v0.3.5版本存在安全漏洞。
golang.org/x/text模块v0.3.5中存在另一个漏洞GO-2022-1059。然而,它被报告为“Informational”,因为我们的代码没有(直接或间接)调用这个安全漏洞相关的函数。
现在,让我们评估vuln-tutorial项目中的漏洞并确定要采取的行动。
评估漏洞
a.评估漏洞
首先,阅读漏洞的描述信息,并确定它是否真的适用于你的代码和用例。如果你需要更多信息,请访问“More info”链接。
根据描述,漏洞GO-2021-0113在使用Parse函数处理不受信任的用户输入时可能会引发panic。假设我们打算让我们的程序承受不受信任的输入,那么该漏洞可能就会被利用。
漏洞GO-2022-1059不会影响我们的代码,因为我们的代码没有从该依赖项中调用任何有安全漏洞的函数。
b.决定采取什么行动
为了解决GO-2021-0113漏洞问题,我们有以下几个选择:
选项1:升级到修复后的版本。如果有可用的修复,我们可以通过升级到该模块的修复版本来删除安全漏洞。
选项2:停止使用有安全漏洞的标识符。我们可以删除代码中对有安全漏洞的函数的所有调用。但我们需要找到一个替代方案,或者自己实现相关函数。
在本例情况下,我们可以使用修复后的版本,Parse函数是我们程序不可或缺的一部分。让我们将依赖项升级到“fixed in”版本v0.3.7。
漏洞GO-2022-1059与漏洞GO-2021-0113在同一模块中,而且它的修复版本是v0.3.8,所以我们可以通过升级到v0.3.8轻松地同时删除这两个漏洞。
升级并修复有安全漏洞的依赖项
幸运的是,升级并修复有安全漏洞的依赖项非常简单。
第8步,升级golang.org/x/text至v0.3.8版本:
$ go get golang.org/x/[email protected]你应该能看到如下输出:
go: upgraded golang.org/x/text v0.3.5 => v0.3.8请注意,我们也可以选择升级到最新版本,或v0.3.8之后的任何其他版本。
第9步,现在再次运行govulcheck:
$ govulncheck ./...你现在会看到如下输出:
govulncheck is an experimental tool. Share feedback at https://go.dev/s/govulncheck-feedback.
Using go1.20.3 and [email protected] with
vulnerability data from https://vuln.go.dev (last modified 2023-04-06 19:19:26 +0000 UTC).
Scanning your code and 46 packages across 1 dependent module for known vulnerabilities...
No vulnerabilities found.govuncheck确认没有发现漏洞。
使用命令govulcheck定期扫描依赖项,你可以识别、排序和解决安全漏洞来保护你的项目代码。