Golang安全编码手册-上篇

最新推荐文章于 2026-06-21 13:22:06 发布
原创 最新推荐文章于 2026-06-21 13:22:06 发布 · 931 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#golang
本文档为Go语言开发者提供编码效率提升及安全编码规范的手册。内容涵盖常见的编码问题及其解决方案,包括错误处理、数据结构使用、命令执行的安全实践、SQL注入防范、文件权限设置等。

前言

本手册为go语言开发人员,为提升编码效率和为满足安全编码规范的随手参考书。内容条目以安全编码为主和常易忽视的编码细节为主,来自于以下三个方面的总结:

1、gosec、govet等go语言安全编码扫描工具,的规则的解读;

2、字节跳动、uber等使用go语言较成熟的大厂,的go语言编码规范的一些提取;

3、我们平时工作中对go语言代码走查,达成一致意见的总结。

本手册每个条目,包含条目的目的,为什么这么做以及正例和反例。条目分类开头的关键字,说明如下:

G开头: 表示go语言基本要求的编码规范;

S开头: 表示来自于安全类问题规范;

P开头: 表示来自于性能累问题的规范。

本手册分为上篇和下篇,下篇暂不发布,内容为对上篇的补充和增加。

G01-handle error

基本要求。

Bad-错误示例Good-正确示例
json.Unmarshal(b, &xxxx) // warning: Errors unhandled.

 

 
    err := json.Unmarshal(b, &xxxx) // or : _ = json.Unmarshal(b, &xxxx) 
    if err != nil {
        return errors.Wrap(err, "Unmarshal xxxx failed, jsonStr")
    }

 

 

 

 

 

 

G02-nil是一个有效的长度为0的slice

基本要求。

Bad-错误示例Good-正确示例
if x == "" {
  return []int{}
}

 

 
if x == "" {
  return nil
}

 

 

 

 

 

 

S01-命令执行exec.Command的正确姿势

命令和参数需要分离,将后面的参数使用append([]string{}, args...)。参见gosec的G204

Bad-错误示例Good-正确示例
out, err := exec.Command("docker","run", "-d", "--net=host", "--entrypoint=/usr/local/bin/h2load", "gohttp2/curl")...).Output()  // Subprocess launched with variable
	if err != nil {
		t.Skipf("Failed to run h2load in docker: %v, %s", err, out)
	}

 

 
out, err := exec.Command("docker", append([]string{"run", "-d", "--net=host", "--entrypoint=/usr/local/bin/h2load", "gohttp2/curl"}, args...)...).Output()
	if err != nil {
		t.Skipf("Failed to run h2load in docker: %v, %s", err, out)
	}

 

 

 

 

 

 

 

 

S02-SQL语句使用format且关键字小写

format可以防止SQL注入,需要小写的关键字有:SELECT FROM、 WHERE、 INSERT INTO、 UPDATE、 DELETE FROM等。也可参见gosec的G201

Bad-错误示例Good-正确示例
fmt.Sprintf("INSERT INTO %s (%s) VALUES (%s)",schema.Name, head, value)  // warnning

 

 
fmt.Sprintf("insert into %s (%s) values (%s)",schema.Name, head, value)

 

 

 

 

 

 

 

S03-文件的权限chmod的正确姿势

创建文件夹和文件时注意权限和非root运行,降低权限,如果必须要0664,可以将0664改为0600|0064。原因参见gosec的G301和G302

Bad-错误示例Good-正确示例
os.OpenFile(logName, os.O_CREATE|os.O_RDWR|os.O_APPEND, 0664) // Expect file permissions to be 0600 or less

 

 
os.OpenFile(logName, os.O_CREATE|os.O_RDWR|os.O_APPEND, 0600|0064)

 

 

 

 

 

 

 

S04-对文件路径对输入检验

将路径/文件参数用path.Clean()或filepath.Clean()进行校验,注意必须要in line,参见gosec的G304

Bad-错误示例Good-正确示例
func File2lines(filePath string) ([]string, error) {
    f, err := os.Open(filePath) //Warning here
    if err != nil {
        return nil, err
    }
    defer f.Close()
    return linesFromReader(f)
}

 

 
func File2lines(filePath string) ([]string, error) {
    f, err := os.Open(filepath.Clean(filePath)) //check file path
    if err != nil {
        return nil, err
    }
    defer f.Close()
    return linesFromReader(f)
}

 

 

 

 

 

 

 

P01-strconv比fmt效率高

将原语转换为字符串或从字符串转换时,strconv比fmt效率高。

Bad-错误示例Good-正确示例
for i := 0; i < b.N; i++ {
  s := fmt.Sprint(rand.Int())
}

 

 
for i := 0; i < b.N; i++ {
  s := strconv.Itoa(rand.Int())
}

 

 

 

 

 

 

 

P02-字符串转化字节效率低

不要反复从固定字符串创建字节slice。相反,请执行一次转换并捕获结果。

Bad-错误示例Good-正确示例
for i := 0; i < b.N; i++ {
  w.Write([]byte("Hello world"))
}

 

 
data := []byte("Hello world")
for i := 0; i < b.N; i++ {
  w.Write(data)
}

 

 

Golang参考手册.zip
04-21
Google对Go寄予厚望。其设计是让软件充分发挥多核心处理器同步多工的优点,并可解决面向对象程序设计的麻烦。它具有现代的程序语言特色,如垃圾回收,帮助程序设计师处理琐碎但重要的内存管理问题。Go的速度也非常快,几乎和C或C++程序一样快,且能够快速制作程序。
golang中文手册_golang中文手册_goapiCHM_golang中文手册.chm_
10-02
golang中文手册.chm,学习golang语言的字典,一典在手,天下我有
Golang安全编码】gosec常见规则的解决办法
宵小小沉的专栏
05-30 6126
Secure Go - A project devoted to secure programming in the Go language, gosec - Golang Security Checker为go语言安全编码的github,其默认提供了如下规则。在扫描过程中,我们针对部分中签的规则,找到了一些安全编码的解决办法。 万能解决办法 如果gosec报告已手动验证为安全的...
Golang 编码建议——安全篇
Doublelv 的博客专栏。
06-23 1149
进行指针操作时,必须判断该指针是否为 nil,防止程序 panic,尤其在进行结构体Unmarshal 时。在对 slice 进行操作时,必须判断长度是否合法,防止程序 panic。
《 C安全编码标准.pdf》 高清下载
04-09
本书提供了在C编程语言中进行安全编码的指导方针,描述了C语言程序中导致软件潜在风险根源的编码错误,并根据严重性、被利用的可能性以及修补成本设置了优先级。每个指导方针提供了不安全代码的例子以及安全的替代方案。如果统一应用这些指导方针,可帮助消除导致缓冲区溢出、格式字符串潜在风险、整数溢出和常见的软件潜在风险的关键编码错误,从而创建更健壮的高质量软件系统。以上简介来自于豆瓣。
Go语言最全编码规范
下载完,不懂运行可以私聊,看到会回
08-29 1645
在编程中,命名规范、注释规范和代码格式化是提高代码质量、可读性和可维护性的关键因素。本文将深入介绍Go语言中的这些规范和最佳实践,并讨论 gofmt工具的使用。注释在代码中起到解释、文档和指导作用,能够帮助其他开发人员更好地理解代码的意图和功能。Go提供C风格的/* */块注释和C ++风格的//行注释。单行注释:单行注释是最常见的注释形式,以 // 开头,可以在代码的任何位置使用。单行注释通常用于对特定代码行或语句进行简短的解释。// 这是一个单行注释") // 这是另一个单行注释。
JAVA安全编码规范参考
gitblog_06720的博客
04-29 314
JAVA安全编码规范参考 【下载地址】JAVA安全编码规范参考 JAVA安全编码规范参考是一份详尽的PDF资源,专为JAVA开发者设计,旨在提升代码的安全性。该规范涵盖了输入验证、身份验证与授权、加密处理、错误处理、日志记录等多个关键安全主题,提供了实用的最佳实践和编码规范。通过遵循这些指南,开发者能够有效预防潜在的安全...
探索Go语言的安全编程之道:《Go语言Web应用安全编码实践》开源指南
gitblog_00022的博客
06-18 417
探索Go语言的安全编程之道:《Go语言Web应用安全编码实践》开源指南 随着Go语言在开发者社区的热度持续飙升,安全地构建Web应用成为了不可忽视的重要议题。今天,我们有幸向您推荐一个特别的开源项目——《Go语言Web应用安全编码实践》,这是一个由OWASP支持并由Checkmarx安全研究团队贡献的权威指南,旨在帮助广大Go开发者避免常见错误,同时促进对这门高效语言的安全应用学习。 项目技术分析...
(Java 24安全编码实战手册):从入门到精通的9步防护体系
SimCompile的博客
01-13 297
掌握Java 24安全编码规范,构建高安全应用的9步防护体系,涵盖身份验证、输入校验、加密处理等实战方法,适用于企业级开发与云原生场景。系统化规避常见漏洞,提升代码健壮性,值得收藏。
gh_mirrors/sh1/sh的安全编码指南:防范注入攻击的实践
gitblog_00029的博客
10-30 924
你是否曾因用户输入导致Shell脚本执行异常?是否担心过命令注入攻击带来的系统风险?本文将结合gh_mirrors/sh1/sh项目的核心功能,为你提供一套实用的安全编码指南,帮助你有效防范注入攻击。读完本文,你将掌握使用shfmt进行代码格式化、利用解析器验证输入合法性以及安全执行命令的具体方法。 ## 认识Shell注入攻击 Shell注入攻击(Shell Injection)是一种常见的...
Go语言全链路安全实战:从代码到部署的防护指南
最新发布
weixin_34033624的博客
06-21 480
在软件开发领域,安全防护是一个系统工程,涉及从代码编写到部署运维的完整链路。其核心原理在于遵循最小权限原则和纵深防御策略,通过多层次的安全措施降低系统风险。在工程实践中,输入校验、输出编码和依赖管理是构建安全应用的三大基石。输入校验确保外部数据的可信性,输出编码有效防御XSS等注入攻击,而依赖管理则通过自动化漏洞扫描工具(如govulncheck)和供应链安全保障机制,确保第三方组件的安全性。这些技术共同构成了现代Web应用的基础防护体系,特别适用于Go这类高性能后端语言开发的服务端应用。本文聚焦于Go语言
强烈推荐:C#编码规范手册
dotNet全栈开发
05-09 5028
要作为一名合格的开发者,最基本的素质就是要做到编码规范,从小我们就接受教导“字如其人”,而写代码亦是如此,良好的代码风格,彰显了个人的工作素养。而良好的代码规范,能够帮助我们进行更好的团队协作,它能方便代码的交流和维护;不会影响编码的效率,不与大众习惯冲突;使代码更美观、阅读更方便;使代码的逻辑更清晰、更易于理解。 那为什么要整理这个规范呢? 最近社区群里有在讨论C#的编码规范,而网络上也没有一些全面的规范文档,所以我就结合微软官方、Resharper和stylecop的规范,以及曾经网路上的一些规范,整理
《C安全编码标准》电子书pdf版
weixin_36059856的博客
03-11 1477
本文还有配套的精品资源,点击获取 简介:《C安全编码标准》是一本指导C语言开发者遵循最佳实践以减少安全漏洞的书籍。书中详细探讨了C语言编程中的常见安全陷阱和预防措施,包括缓冲区溢出、指针安全、类型转换、内存管理、输入验证、错误处理、静态分析、安全库使用、编译器选项及编码规范。通过这些知识点的介绍和分析,帮助开发者编写出更安全、更可靠的C语言程序。 1. 缓冲区溢出...
go sec 治理办法
kogila的博客
07-06 241
G302: Poor file permissions used with chmod 反例:os.OpenFile(logName, os.O_CREATE|os.O_RDWR|os.O_APPEND, 0664) // Expect file permissions to be 0600 or less 解决办法:降低权限,如果必须要0664,可以将0664改为0600|0064os.OpenFile(logName, os.O_CREATE|os.O_RDWR|os.O_APPEND, 0600|00
Golang学习手册
book_longker的专栏
03-21 5753
安装非常简单,直接默认安装就行;最新版的不需要到windows的电脑属性中去设置GOPATH 安装成功后,在cmd下设置 // 默认GO111MODULE 是关闭的 go env -w GO111MODULE=on 新建项目的开发目录,如在d:\golang下面新建的项目文件夹,每个文件夹就属于一个项目 // d:\golang mkdir firstDemo cd firstDemo // 通过go mod 来管理 go mod init firstDemo // 会在当前下面生成go.mod 文件
GoLang萌新自用总结参考手册
程序猿的世界
01-12 853
int转string data := 12 res := strconv.FormatInt(int64(data), 10) res1 := strconv.Itoa(data) fmt.Println( reflect.TypeOf(res) ) fmt.Println( reflect.TypeOf(res1) ) float转string data := 12.12 res :=...
golang 学习手册
迷失的鱼的博客
09-04 659
byte 类型=uint8 无字符int类型没用负数区别于长度257 int8类型首位标记正负数 所以长度-127 +127 rune类型则是int32的别名类型,为了解决中文问题
Go语言初上手(三)编码规范与性能优化 | 青训营
cos的博客
05-12 1855
本节课讲了如何写出更简洁清晰的代码,每种语言都有自己的特性,也有自己独特的代码规范,对于 Go 来说,有哪些性能优化的手段、趁手的工具,也都进行了介绍。
Golang 基础之基础语法梳理 (一)
changhao
02-26 633
大家好,今天将梳理出的 Go语言基础语法内容,分享给大家。 请多多指教,谢谢。本次《Go语言基础语法内容》共分为三个章节,本文为第一章节。
超详细的golang学习指南golang知识图谱
2301_76484015的博客
02-28 1262
切片数据类型是有如下结构体表示的 - Data 是指向数组的指针 - Len 是当前切片的长度 - Cap 是当前切片的容量大小,即Data数组的大小 切片占用的内存空间=切片中元素大小 X 切片容量 切片自动扩容,扩容后新切片的容量将会是原切片容量的2倍,如果还是不足以容纳新元素,则按照同样的操作继续扩容,直到新容量不小于原长度与追加的元素数量之和。注意:数组的长度是数组类型的一部分。*操作符作为右值时,意义是取指针的值,作为左值时,也就是放在赋值操作符的左边时,表示 a 指针指向的变量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值