如何处理 gosec linter 警告:可能通过变量包含文件

如何解决来自gosec linter 的以下警告:

::warning: Potential file inclusion via variable,MEDIUM,HIGH (gosec)

linter 在此函数的第一行警告我:

func File2lines(filePath string) ([]string, error) {

    f, err := os.Open(filePath) //Warning here

    if err != nil {

        return nil, err

    }

    defer f.Close()

    return linesFromReader(f)

}

我曾尝试阅读有关本地文件包含的内容,但看不到它在此处的适用性。


aluckdog
浏览 310回答 3
3回答

慕的地10843

路径从何而来?如果您不确定它永远不会有用户输入,最好在使用前清理它并使用已知前缀,例如:filePath = filepath.Join(basePath,filepath.Clean(filePath)) f, err := os.Open(filePath)那应该解决投诉。无论如何,这是一个合理的预防措施,即使您现在认为它是安全的,以防以后有人将您的功能与用户数据一起使用。

qq_花开花谢_0

没有人说 linter 很聪明。孤立地看功能,不可能说是否存在安全问题。filePath如果使用用户提供且未充分验证的a 调用该函数,并且它在可以读取用户无法以其他方式读取的文件的上下文中运行(例如,在具有提升权限的程序中,或在远程服务器上) ,那么就有一个可能的问题。否则,对警告唯一要做的就是抑制或忽略它。

翻过高山走不出你

如果使用变量指定文件路径,则可能会指定非预期的文件路径。因此,您应该使用filepath.Clean()来清理可能的坏路径。一个简单的解决方案:f,err := os.Open(filepath.Clean(fname))
打开App,查看更多内容
随时随地看视频慕课网APP

相关分类

Go