Download de gokart - Download do código fonte gokart

gokart

Outras categorias

v0.5.1

Baixar

O Gokart é uma ferramenta de análise estática para GO que encontra vulnerabilidades usando o formulário SSA (atribuição estática única) do código -fonte Go. É capaz de rastrear a fonte de variáveis e argumentos de função para determinar se as fontes de entrada são seguras, o que reduz o número de falsos positivos em comparação com outros scanners de segurança GO. Por exemplo, uma consulta SQL concatenada com uma variável pode ser tradicionalmente sinalizada como injeção de SQL; No entanto, o Gokart pode descobrir se a variável é realmente um equivalente constante ou constante; nesse caso, não há vulnerabilidade.

O Gokart também ajuda a alimentar a Chariot , a plataforma de segurança do pretoriana que ajuda você a encontrar, gerenciar e corrigir vulnerabilidades em seu código -fonte e ambientes em nuvem. A Chariot simplifica a execução de Gokart automatizada e contínua em seu código -fonte. Se você quiser experimentar o Gokart, pode configurar uma conta de carruagem gratuita em minutos clicando aqui.

Por que construímos Gokart

A análise estática é uma técnica poderosa para encontrar vulnerabilidades no código -fonte. No entanto, a abordagem sofreu por ser barulhenta - ou seja, muitas ferramentas de análise estática encontram algumas "vulnerabilidades" que não são realmente reais. Isso levou ao atrito do desenvolvedor à medida que os usuários se cansam das ferramentas "chorando" uma vez uma vez.

A motivação para Gokart era abordar isso: poderíamos criar um scanner com taxas falsas positivas significativamente mais baixas do que as ferramentas existentes? Com base em nossa experimentação, a resposta é sim. Ao alavancar o rastreamento de origem para pular e a SSA, o Gokart é capaz de rastrear a mancha variável entre atribuições variáveis, melhorando significativamente a precisão dos achados. Nosso foco está na usabilidade: pragmaticamente, isso significa que otimizamos nossas abordagens para reduzir alarmes falsos.

Para mais informações, leia nossa postagem no blog.

Instalar

Você pode instalar o Gokart localmente usando qualquer uma das opções listadas abaixo.

Instale com `go install`

$ go install github.com/praetorian-inc/gokart@latest

Instale um binário de liberação

Faça o download do binário para o seu sistema operacional na página de lançamentos.
(Opcional) Faça o download do arquivo checksums.txt para verificar a integridade do arquivo

 # Check the checksum of the downloaded archive
$ shasum -a 256 gokart_ ${VERSION} _ ${ARCH} .tar.gz
b05c4d7895be260aa16336f29249c50b84897dab90e1221c9e96af9233751f22  gokart_ ${VERSION} _ ${ARCH} .tar.gz

$ cat gokart_ ${VERSION} _ ${ARCH} _checksums.txt | grep gokart_ ${VERSION} _ ${ARCH} .tar.gz
b05c4d7895be260aa16336f29249c50b84897dab90e1221c9e96af9233751f22  gokart_ ${VERSION} _ ${ARCH} .tar.gz

Extrair o arquivo baixado

$ tar -xvf gokart_ ${VERSION} _ ${ARCH} .tar.gz

Mova o binário gokart para o seu caminho:

$ mv ./gokart /usr/local/bin/

Clone e construa -se

 # clone the GoKart repo
$ git clone https://github.com/praetorian-inc/gokart.git

# navigate into the repo directory and build
$ cd gokart
$ go build

# Move the gokart binary into your path
$ mv ./gokart /usr/local/bin

Suporte do Docker

Construa a imagem do Docker

docker build -t gokart .

Executando o contêiner com uma varredura local (o diretório de varredura local precisa ser montado na imagem do contêiner)

docker run -v /path/to/scan-dir:/scan-dir gokart scan /scan-dir

Executando o contêiner com uma varredura remota (ao especificar uma chave privada para Auth, que também precisará ser montada no recipiente)

docker run gokart scan -r https://github.com/praetorian-inc/gokart

# specifying a private key for private repository ssh authentication
docker run -v /path/to/key-dir/:/key-dir gokart scan -r [email protected]:praetorian-inc/gokart.git -k /key-dir/ssh_key

Uso

Run Gokart em um módulo Go no diretório atual

 # running without a directory specified defaults to '.'
gokart scan < flags >

Digitalize um módulo Go em um diretório diferente

gokart scan < directory > < flags >

Obtenha ajuda

gokart help

Introdução - Examinando um exemplo de aplicativo

Você pode seguir as etapas abaixo para executar o Gokart On Go Test Bench, um aplicativo GO intencionalmente vulnerável da equipe de segurança de contraste.

 # Clone sample vulnerable application
git clone https://github.com/Contrast-Security-OSS/go-test-bench.git
gokart scan go-test-bench/

A saída deve mostrar algumas vulnerabilidades identificadas, cada uma com uma função vulnerável e fonte de entrada do usuário identificadas.

Para testar alguns recursos adicionais do Gokart, você pode digitalizar com as bandeiras da CLI sugeridas abaixo.

 # Use verbose flag to show full traces of these vulnerabilities
gokart scan go-test-bench/ -v

# Use globalsTainted flag to ignore whitelisted Sources
# may increase false positive results
gokart scan go-test-bench/ -v -g

# Use debug flag to display internal analysis information
# which is useful for development and debugging
gokart scan go-test-bench/ -d

# Output results in sarif format
gokart scan go-test-bench/ -s

# Output results to file
gokart scan go-test-bench/ -o gokart-go-test-bench.txt

# Output scarif results to file
gokart scan go-test-bench/ -o gokart-go-test-bench.txt -s

# Scan remote public repository 
# Repository will be cloned locally, scanned and deleted afterwards
gokart scan -r https://github.com/ShiftLeftSecurity/shiftleft-go-demo -v

# Specify the remote branch to scan
gokart scan -r https://github.com/ShiftLeftSecurity/shiftleft-go-demo -b actions_fix

# Scan remote private repository via ssh
gokart scan -r [email protected]:Contrast-Security-OSS/go-test-bench.git 

# Scan remote private repository and optionally specify a key for ssh authentication 
gokart scan -r [email protected]:Contrast-Security-OSS/go-test-bench.git -k /home/gokart/.ssh/github_rsa_key

# Use remote scan and output flags together for seamless security reviews
gokart scan -r https://github.com/ShiftLeftSecurity/shiftleft-go-demo -o gokart-shiftleft-go-demo.txt -v 

# Use remote scan, output and sarif flags for frictionless integration into CI/CD
gokart scan -r https://github.com/ShiftLeftSecurity/shiftleft-go-demo -o gokart-shiftleft-go-demo.txt -s

Para testar a extensibilidade do Gokart, você pode modificar o arquivo de configuração que o Gokart usa para introduzir uma nova pia vulnerável em análise. Existe um analisador de pia de teste definido no arquivo de configuração padrão incluído em util/analyzers.yml . Modifique util/analyzers.yml para remover os comentários no analisador de pia de teste e, em seguida, direcione o Gokart para usar o arquivo de configuração modificado com o sinalizador -i .

 # Scan using modified analyzers.yml file and output full traces
gokart scan go-test-bench/ -v -i < path-to-gokart > /util/analyzers.yml

A saída agora deve conter vulnerabilidades adicionais, incluindo a nova vulnerabilidade "Test Polh alcanced By Intruted Input".

Execute testes de Gokart

Você pode executar os testes incluídos com o seguinte comando, invocado no diretório raiz do Gokart.

go test -v ./...

Expandir

Informações adicionais

Versão v0.5.1
Tipo Outras categorias
Data da Última Atualização 2025-06-21
tamanho 167.99KB
Vindo de Github

Aplicativos Relacionados

IDArling

2025-06-25
hextor

2025-01-03
intellij tai e

2025-06-18
microavx

2025-03-20
cwe_checker

2025-06-25
pyt

2025-06-21

Recomendado para você

chat.petals.dev

Outro código-fonte

1.0.0
GPT Prompt Templates

Outro código-fonte

1.0.0
GPTyped

Outro código-fonte

GPTyped 1.0.5
IDArling

Outras categorias

1.0.0
hextor

Outras categorias

v0.14
intellij tai e

Outras categorias

v0.1.10
Google Dorks

Outro código-fonte

1.0
shepherd

Outro código-fonte

v6.1.6-react-shepherd: Prepare Release (#3063)
mongo express

Outro código-fonte

v1.1.0-rc-3

Informações Relacionadas Todos

gokart