關於 gosec G 的戲劇，或者我如何面對 Go 中的整數轉換溢出

Go 是一種強型別語言，它可以避免犯錯。

我錯誤地認為 Go 正在處理整數溢出，並報告了錯誤。

這裡是完美的世界，一切都如預期進行

a := int64(42)
b := uint8(a)
fmt.Println(b) // 42

那麼下面的程式碼是做什麼的

a = 255 + 1    // 255 is the higher value an uint8 can reach
b = uint8(a)
fmt.Println(b) // ?

a = -1
b = uint8(a)
fmt.Println(b) // ?

解決方案在這裡

劇透：它沒有按預期工作，或至少沒有按我們的預期工作。

這裡 Go 進行了靜默轉換，當然它無法將值儲存為提供的整數類型，但完全沒有錯誤。

有後果：CWE-190

• 想像一下，您透過識別碼存取資源，但需要從整數類型轉換為另一種類型，您可能允許存取另一個資源。

因此，gosec 是一個專注於提高 Go 安全性的 linter，提供了一個 linter 來檢測該問題：linter G115

G115 linter 的想法很好。

但不幸的是，它與一些虛假問題合併，除了少數問題外，這些問題現已解決。

gosec v2.21.0 合併到 golangci-lint 後問題變得很嚴重

許多人禁用了 gosec G115，因為它給 CI 帶來了誤報和噪音

所以現在很多人不幸禁用了G115檢查器，你可以在GitHub上輕鬆看到它

以上是關於 gosec G 的戲劇，或者我如何面對 Go 中的整數轉換溢出的詳細內容。更多資訊請關注PHP中文網其他相關文章！