使用gosec工具对golang项目进行安全检查

使用gosec开源工具检查代码 3、模块会下载到环境变量路径下的目录，会有三个文件夹，在bin目录下会有实际的gosec.exe4、控制台直接使用gosec -help查看4、检查项目安全漏洞 5、检查项目结束后会有输出

1、默认已有go环境

查看环境版本，若配置环境变量，在命令提示符窗口查看

go version

2、新建Go项目，或已有项目，在开发工具中的窗口，在go.mod目录同层，下载gosec

# Go version < 1.16 使用此方法
go get github.com/securego/gosec/v2/cmd/gosec# Go version >=1.16 使用此方法
go install github.com/securego/gosec/v2/cmd/gosec@latest

2.1、安装此工具其他方法（检查规则也有）

https://github.com/securego/gosec#install

3、模块会下载到环境变量路径下的目录，会有三个文件夹，在bin目录下会有实际的gosec.exe

4、控制台直接使用gosec -help查看

4、检查项目安全漏洞 4.1、直接输出内容到终端

// 支持的格式有：text, json, yaml, csv, sonarqube, JUnit XML, html
gosec -fmt=json ./... 

4.2、输出到指定文件

// 输出的格式要个文件后缀名匹配
gosec -fmt=json -out=results.json ./... 

4.3、指定使用规则

// 指定使用某几个规则
gosec -include=G101,G203,G401 ./...
// 使用默认所有规则，除了某几个规则
gosec -exclude=G303 ./...

5、检查项目结束后会有输出