Unduh gokart - Unduh Kode Sumber gokart

gokart

Kategori lainnya

v0.5.1

Unduh

Gokart adalah alat analisis statis untuk GO yang menemukan kerentanan menggunakan bentuk kode sumber SSA (penugasan statis tunggal). Ini mampu melacak sumber variabel dan argumen fungsi untuk menentukan apakah sumber input aman, yang mengurangi jumlah positif palsu dibandingkan dengan pemindai keamanan GO lainnya. Misalnya, kueri SQL yang digabungkan dengan variabel mungkin secara tradisional ditandai sebagai injeksi SQL; Namun, Gokart dapat mengetahui apakah variabel tersebut sebenarnya adalah setara konstan atau konstan, dalam hal ini tidak ada kerentanan.

Gokart juga membantu memberi daya Chariot , platform keamanan Praetorian yang membantu Anda menemukan, mengelola, dan memperbaiki kerentanan dalam kode sumber dan lingkungan cloud Anda. Chariot membuatnya mudah untuk menjalankan pemindaian Gokart yang otomatis dan terus menerus pada kode sumber Anda. Jika Anda ingin mencoba Gokart, Anda dapat menyiapkan akun Chariot gratis dalam hitungan menit dengan mengklik di sini.

Mengapa kami membangun Gokart

Analisis statis adalah teknik yang kuat untuk menemukan kerentanan dalam kode sumber. Namun, pendekatan tersebut menderita karena berisik - yaitu, banyak alat analisis statis menemukan beberapa "kerentanan" yang sebenarnya tidak nyata. Ini telah menyebabkan gesekan pengembang karena pengguna bosan dengan alat "menangis serigala" terlalu banyak.

Motivasi untuk Gokart adalah untuk mengatasi hal ini: Bisakah kita membuat pemindai dengan tingkat positif palsu yang jauh lebih rendah daripada alat yang ada? Berdasarkan eksperimen kami, jawabannya adalah ya. Dengan memanfaatkan penelusuran sumber-ke-tautan dan SSA, Gokart mampu melacak noda variabel antara penugasan variabel, secara signifikan meningkatkan keakuratan temuan. Fokus kami adalah pada kegunaan: secara pragmatis, itu berarti kami telah mengoptimalkan pendekatan kami untuk mengurangi alarm palsu.

Untuk informasi lebih lanjut, silakan baca posting blog kami.

Memasang

Anda dapat menginstal Gokart secara lokal dengan menggunakan salah satu opsi yang tercantum di bawah ini.

Instal dengan `go install`

$ go install github.com/praetorian-inc/gokart@latest

Instal Biner Rilis

Unduh biner untuk OS Anda dari halaman rilis.
(Opsional) Unduh file checksums.txt untuk memverifikasi integritas arsip

 # Check the checksum of the downloaded archive
$ shasum -a 256 gokart_ ${VERSION} _ ${ARCH} .tar.gz
b05c4d7895be260aa16336f29249c50b84897dab90e1221c9e96af9233751f22  gokart_ ${VERSION} _ ${ARCH} .tar.gz

$ cat gokart_ ${VERSION} _ ${ARCH} _checksums.txt | grep gokart_ ${VERSION} _ ${ARCH} .tar.gz
b05c4d7895be260aa16336f29249c50b84897dab90e1221c9e96af9233751f22  gokart_ ${VERSION} _ ${ARCH} .tar.gz

Ekstrak arsip yang diunduh

$ tar -xvf gokart_ ${VERSION} _ ${ARCH} .tar.gz

Pindahkan biner gokart ke jalan Anda:

$ mv ./gokart /usr/local/bin/

Kloning dan Bangun Diri Sendiri

 # clone the GoKart repo
$ git clone https://github.com/praetorian-inc/gokart.git

# navigate into the repo directory and build
$ cd gokart
$ go build

# Move the gokart binary into your path
$ mv ./gokart /usr/local/bin

Dukungan Docker

Bangun gambar Docker

docker build -t gokart .

Menjalankan wadah dengan pemindaian lokal (direktori pemindaian lokal perlu dipasang ke gambar wadah)

docker run -v /path/to/scan-dir:/scan-dir gokart scan /scan-dir

Menjalankan wadah dengan pemindaian jarak jauh (saat menentukan kunci pribadi untuk auth, yang juga perlu dipasang ke wadah)

docker run gokart scan -r https://github.com/praetorian-inc/gokart

# specifying a private key for private repository ssh authentication
docker run -v /path/to/key-dir/:/key-dir gokart scan -r [email protected]:praetorian-inc/gokart.git -k /key-dir/ssh_key

Penggunaan

Jalankan Gokart di Modul GO di direktori saat ini

 # running without a directory specified defaults to '.'
gokart scan < flags >

Pindai modul go di direktori yang berbeda

gokart scan < directory > < flags >

Dapatkan bantuan

gokart help

Memulai - Memindai Contoh Aplikasi

Anda dapat mengikuti langkah -langkah di bawah ini untuk menjalankan Gokart on Go Test Bench, aplikasi GO yang sengaja rentan dari tim keamanan kontras.

 # Clone sample vulnerable application
git clone https://github.com/Contrast-Security-OSS/go-test-bench.git
gokart scan go-test-bench/

Output harus menunjukkan beberapa kerentanan yang diidentifikasi, masing -masing dengan fungsi yang rentan dan sumber input pengguna yang diidentifikasi.

Untuk menguji beberapa fitur Gokart tambahan, Anda dapat memindai dengan bendera CLI yang disarankan di bawah ini.

 # Use verbose flag to show full traces of these vulnerabilities
gokart scan go-test-bench/ -v

# Use globalsTainted flag to ignore whitelisted Sources
# may increase false positive results
gokart scan go-test-bench/ -v -g

# Use debug flag to display internal analysis information
# which is useful for development and debugging
gokart scan go-test-bench/ -d

# Output results in sarif format
gokart scan go-test-bench/ -s

# Output results to file
gokart scan go-test-bench/ -o gokart-go-test-bench.txt

# Output scarif results to file
gokart scan go-test-bench/ -o gokart-go-test-bench.txt -s

# Scan remote public repository 
# Repository will be cloned locally, scanned and deleted afterwards
gokart scan -r https://github.com/ShiftLeftSecurity/shiftleft-go-demo -v

# Specify the remote branch to scan
gokart scan -r https://github.com/ShiftLeftSecurity/shiftleft-go-demo -b actions_fix

# Scan remote private repository via ssh
gokart scan -r [email protected]:Contrast-Security-OSS/go-test-bench.git 

# Scan remote private repository and optionally specify a key for ssh authentication 
gokart scan -r [email protected]:Contrast-Security-OSS/go-test-bench.git -k /home/gokart/.ssh/github_rsa_key

# Use remote scan and output flags together for seamless security reviews
gokart scan -r https://github.com/ShiftLeftSecurity/shiftleft-go-demo -o gokart-shiftleft-go-demo.txt -v 

# Use remote scan, output and sarif flags for frictionless integration into CI/CD
gokart scan -r https://github.com/ShiftLeftSecurity/shiftleft-go-demo -o gokart-shiftleft-go-demo.txt -s

Untuk menguji ekstensibilitas Gokart, Anda dapat memodifikasi file konfigurasi yang digunakan Gokart untuk memperkenalkan wastafel rentan baru ke dalam analisis. Ada penganalisa wastafel uji yang ditentukan dalam file konfigurasi default yang disertakan di util/analyzers.yml . Ubah util/analyzers.yml untuk menghapus komentar pada penganalisa test wastafel dan kemudian mengarahkan Gokart untuk menggunakan file konfigurasi yang dimodifikasi dengan bendera -i .

 # Scan using modified analyzers.yml file and output full traces
gokart scan go-test-bench/ -v -i < path-to-gokart > /util/analyzers.yml

Output sekarang harus mengandung kerentanan tambahan, termasuk kerentanan "test wastafel yang dapat dijangkau oleh input pengguna" baru.

Jalankan tes Gokart

Anda dapat menjalankan tes yang disertakan dengan perintah berikut, dipanggil dari direktori Root Gokart.

go test -v ./...

Memperluas

Informasi Tambahan

Versi v0.5.1
Tipe Kategori lainnya
Waktu Pembaruan 2025-06-21
ukuran 167.99KB
Berasal dari Github

Aplikasi Terkait

IDArling

2025-06-25
hextor

2025-01-03
intellij tai e

2025-06-18
microavx

2025-03-20
cwe_checker

2025-06-25
pyt

2025-06-21

Direkomendasikan untuk Anda

chat.petals.dev

Kode sumber lainnya

1.0.0
GPT Prompt Templates

Kode sumber lainnya

1.0.0
GPTyped

Kode sumber lainnya

GPTyped 1.0.5
IDArling

Kategori lainnya

1.0.0
hextor

Kategori lainnya

v0.14
intellij tai e

Kategori lainnya

v0.1.10
Google Dorks

Kode sumber lainnya

1.0
shepherd

Kode sumber lainnya

v6.1.6-react-shepherd: Prepare Release (#3063)
mongo express

Kode sumber lainnya

v1.1.0-rc-3

Informasi Terkait Semua

gokart