深入解析gosec安全扫描工具规则开发指南-优快云博客

本文链接：https://blog.youkuaiyun.com/gitblog_00634/article/details/148440997

深入解析gosec安全扫描工具规则开发指南

gosec Go security checker 项目地址: https://gitcode.com/gh_mirrors/go/gosec

前言

gosec是一款专注于Go语言代码安全扫描的静态分析工具，它能够帮助开发者识别代码中的潜在安全问题。本文将详细介绍如何在gosec中开发新的安全规则，包括两种不同的规则实现方式及其适用场景。

规则开发基础

在gosec中，安全规则可以通过两种方式实现：

基于AST的规则：适用于只需要分析单个语句或表达式的简单规则
基于SSA的Analyzer：适用于需要分析整个程序上下文关系的复杂规则

基于AST的规则开发

AST(抽象语法树)规则是gosec中最基础的规则类型，它会在代码的每个AST节点上执行检查逻辑。

开发步骤

创建规则文件：建议从unsafe.go文件开始，复制到rules目录下作为模板。这个文件实现了一个简单的规则，没有复杂的辅助逻辑。
修改规则标识：需要修改规则构造函数的名称和文件中的类型定义，确保它们具有唯一性。
注册规则：在rulelist.go文件的Generate函数中添加新规则。
关联CWE：在issue.go文件中为规则添加RuleID到CWE ID的映射。如果需要的CWE尚未定义，需要在data.go文件中添加。
构建测试：使用make命令编译gosec，新规则将被包含在生成的二进制文件中。

实用工具函数

gosec提供了多个辅助函数来简化规则开发：

resolve.go：包含类型解析相关函数
helpers.go：提供各种辅助功能
call_list.go：处理函数调用关系

这些函数都有详细的注释说明，可以参考现有规则中的使用示例。

基于SSA的Analyzer开发

SSA(静态单赋值)形式的Analyzer能够访问整个程序的上下文信息，适合实现复杂的分析逻辑。

开发步骤

创建Analyzer文件：在analyzers目录下创建新的go文件，使用以下模板：

package analyzers

import (
    "fmt"
    "golang.org/x/tools/go/analysis"
    "golang.org/x/tools/go/analysis/passes/buildssa"
    "github.com/securego/gosec/v2/issue"
)

const defaultIssueDescriptionMyAnalyzer = "My new analyzer!"

func newMyAnalyzer(id string, description string) *analysis.Analyzer {
    return &analysis.Analyzer{
        Name:     id,
        Doc:      description,
        Run:      runMyAnalyzer,
        Requires: []*analysis.Analyzer{buildssa.Analyzer},
    }
}

func runMyAnalyzer(pass *analysis.Pass) (interface{}, error) {
    ssaResult, err := getSSAResult(pass)
    if err != nil {
        return nil, fmt.Errorf("building ssa representation: %w", err)
    }
    var issues []*issue.Issue
    fmt.Printf("My Analyzer ran! %+v\n", ssaResult)

    return issues, nil
}