免责声明:本教程是在自己电脑本地测试Gosec的效果,不涉及其他运行方式。如果想了解其他模式,可以关注后面的文档。定义通讯自定义扫码规则,你可以和我交流。背景:Gosec是一个开源项目,它扫描GoAST以检查源代码是否存在安全问题。当公司发展到一定程度,就需要对代码进行审计。由于Go是主要的开发语言,我将测试Gosec的效果。教程的使用需要已经配置好Go开发环境,准备测试项目代码Step1.进入Go环境的src目录,执行命令:gogetgithub.com/securego/gosec/v2/cmd/gosec2.直接build进入gosec工程目录:cd./gosec/,然后执行:make提示:make后可以使用gosec扫码,是全局命令3.扫码进入你准备好的代码目录,执行:gosec-fmt=json./...命令的意思是:检测当前目录下的所有代码,并以Json格式输出到终端。然后查看结果,如果有漏洞,会用Json数据格式写清楚,危险等级会写清楚。Gosec常用命令1.直接将内容输出到终端gosec-fmt=json./...支持的格式有:text,json,yaml,csv,sonarqube,JUnitXML,html2。输出到指定文件gosec-fmt=json-out=results.json./...输出的格式需要符合文件后缀名规则,部分规则除外$gosec-exclude=G303./...更多用法请参考官方文档:Gosec开源项目地址
