go 是一种强类型语言,它可以避免犯错误。
我错误地认为 go 正在处理整数溢出,并报告了错误。
这里是完美的世界,一切都按预期进行
a := int64(42) b := uint8(a) fmt.println(b) // 42
那么下面的代码是做什么的
a = 255 + 1 // 255 is the higher value an uint8 can reach b = uint8(a) fmt.Println(b) // ? a = -1 b = uint8(a) fmt.Println(b) // ?
解决方案在这里
剧透:它没有按预期工作,或者至少没有按我们的预期工作。
这里 go 进行了静默转换,当然它无法将值存储为提供的整数类型,但完全没有错误。
有后果:cwe-190
- 想象一下,您通过标识符访问资源,但需要从整数类型转换为另一种类型,您可能允许访问另一个资源。
因此,gosec 是一个专注于提高 go 安全性的 linter,提供了一个 linter 来检测该问题:linter g115
g115 linter 的想法很好。
但不幸的是,它与一些虚假问题合并,除了少数问题外,这些问题现已得到解决。
gosec v2.21.0 合并到 golangci-lint 后问题变得很严重
许多人禁用了 gosec g115,因为它给 ci 带来了误报和噪音
所以现在很多人不幸禁用了g115检查器,你可以在github上轻松看到它
