Gosec Scanner¶
Le scanner Gosec de BoostSecurity prend en charge les règles énumérées ci-dessous :
| Name | Id | Description |
|---|---|---|
| Rechercher des identifiants codés en du | rechercher-identifiants-codes-en-dur | Le logiciel contient des identifiants codés en dur, tels qu'un mot de passe ou une clé cryptographique, qu'il utilise pour son propre authentification entrante, la communication sortante avec des composants externes, ou le chiffrement des données internes. |
| Lier à toutes les interface | lier-à-toutes-les-interfaces | Le produit expose des informations sensibles à un acteur qui n'est pas explicitement autorisé à accéder à ces informations. |
| Auditer l'utilisation du bloc unsaf | audit-use-of-unsafe-block | Le programme appelle une fonction qui ne peut jamais être garantie de fonctionner en toute sécurité. |
| Audit des erreurs non vérifiée | erreurs-d-audit-non-verifiees | Le logiciel ne prévoit pas correctement ou ne gère pas les conditions exceptionnelles qui se produisent rarement lors de l'utilisation normale du logiciel. |
| Auditer l'utilisation de ssh.InsecureIgnoreHostKe | audit-utilisation-de-ssh.insecureignorehostkey | Le logiciel effectue un échange de clés avec un acteur sans vérifier l'identité de cet acteur. |
| URL fournie à la requête HTTP en tant qu'entrée de contaminan | url-fournie-à-la-requête-http-en-tant-qu'entrée-de-contaminant | Le logiciel ne délimite pas correctement les arguments, options ou commutateurs souhaités dans cette chaîne de commande. |
| Point de profilage exposé automatiquement sur /debug/ppro | point-de-profilage-expose-sur-debug | Le produit expose des informations sensibles à un acteur qui n'est pas explicitement autorisé à accéder à ces informations. |
| Débordement d'entier potentiel causé par la conversion du résultat de strconv.Atoi en int16/ | débordement-entier-potentiel | Le logiciel effectue un calcul qui peut produire un débordement d'entier ou une boucle. |
| Vulnérabilité potentielle de DoS via une bombe de décompressio | vulnerabilite-potentielle-dos-via-bombe-de-decompression | Le logiciel ne gère pas ou gère incorrectement une entrée compressée avec un très haut taux de compression, produisant un large volume de sortie. |
| Traversée de répertoire potentiell | traversée-de-répertoire-potentielle | Le logiciel ne neutralise pas correctement les éléments spéciaux dans le chemin d'accès. |
| Attaque slowloris potentiell | attaque-slowloris-potentielle | Le logiciel ne contrôle pas correctement l'allocation et la maintenance d'une ressource limitée, permettant ainsi à un acteur d'influencer la quantité de ressources consommées, ce qui peut finalement entraîner l'épuisement des ressources disponibles. |
| Utilisation de Rat.SetString dans math/big avec un dépassement (CVE-2022-23772 | G113 | Le logiciel effectue un calcul qui peut provoquer un dépassement d'entier ou un débordement. |
| Utilisation de la fonction serve de net/http qui ne supporte pas la définition de délai | G114 | Le programme invoque une fonction potentiellement dangereuse qui pourrait introduire une vulnérabilité si elle est mal utilisée, mais la fonction peut également être utilisée en toute sécurité. |
| Construction de requête SQL utilisant une chaîne de forma | construction-requete-sql-utilisant-chaine-format | Le logiciel ne neutralise pas ou neutralise incorrectement les éléments spéciaux qui pourraient modifier la commande SQL prévue. |
| Construction de requêtes SQL utilisant la concaténation de chaîne | construction-de-requetes-sql-utilisant-la-concatenation-de-chaines | Le logiciel ne neutralise pas ou neutralise incorrectement des éléments spéciaux qui pourraient modifier la commande SQL prévue. |
| Utilisation de données non échappées dans les modèles HTM | utilisation-de-donnees-non-echappees-dans-les-modeles-html | Le logiciel ne neutralise pas ou neutralise incorrectement les entrées contrôlées par l'utilisateur avant qu'elles ne soient insérées dans la sortie. |
| Audit de l'utilisation de l'exécution de commande | audit-utilisation-execution-commandes | Le logiciel ne neutralise pas ou neutralise incorrectement des éléments spéciaux qui pourraient modifier la commande OS prévue. |
| Mauvaises autorisations de fichier utilisées lors de la création d'un répertoir | mauvaises-autorisations-de-fichier-utilisées-lors-de-la-creation-d-un-repertoire | Lors de l'installation, les autorisations des fichiers installés sont définies pour permettre à quiconque de modifier ces fichiers. |
| Mauvaises permissions de fichier utilisées avec chmo | mauvaises-permissions-de-fichier-utilisees-avec-chmod | Lors de l'installation, les permissions de fichier installées sont définies pour permettre à quiconque de modifier ces fichiers. |
| Création de fichier temporaire avec un chemin prévisibl | creation-fichier-temporaire-chemin-previsible | Créer et utiliser des fichiers temporaires non sécurisés peut rendre les données des applications et des systèmes vulnérables aux attaques. |
| Chemin de fichier fourni en tant qu'entrée de contaminatio | chemin-fichier-fourni-comme-entrée-contamination | Le logiciel ne neutralise pas correctement les éléments spéciaux dans le chemin d'accès. |
| Traversée de fichiers lors de l'extraction d'une archive zip/ta | G305 | Le logiciel ne neutralise pas correctement les éléments spéciaux dans le chemin d'accès. |
| Mauvaises permissions de fichier utilisées lors de l'écriture dans un nouveau fichie | mauvaises-permissions-de-fichier | Pendant l'installation, les permissions des fichiers installés sont définies pour permettre à quiconque de modifier ces fichiers. |
| Différer une méthode qui retourne une erreu | G307 | Le logiciel ne prévoit pas correctement ou ne gère pas les conditions exceptionnelles qui se produisent rarement lors du fonctionnement normal du logiciel. |
| Détecter l'utilisation de DES, RC4, MD5 ou SH | G401 | Le logiciel stocke ou transmet des données sensibles en utilisant un schéma de chiffrement qui est théoriquement solide, mais qui n'est pas assez fort pour le niveau de protection requis. |
| Rechercher de mauvaises configurations de connexion TL | G402 | Le logiciel ne valide pas, ou valide incorrectement, un certificat. |
| Assurer une longueur de clé RSA minimale de 2048 bit | assurer-longueur-cle-rsa-minimale | Le code présente une vulnérabilité liée à la conception et à la mise en œuvre de la confidentialité et de l'intégrité des données. |
| Source de nombres aléatoires non sécurisée (rand | source-nombre-aléatoire-non-sécurisée | Le produit utilise un Générateur de Nombres Aléatoires Pseudo-Randomique (PRNG) dans un contexte de sécurité, mais l'algorithme du PRNG n'est pas cryptographiquement solide. |
| Liste noire d'importation crypto/m | crypto-md5 | L'utilisation d'un algorithme cryptographique brisé ou risqué constitue un risque inutile pouvant entraîner l'exposition d'informations sensibles. |
| Importer la liste noire crypto/d | crypto-des | L'utilisation d'un algorithme cryptographique défaillant ou risqué représente un risque inutile qui peut entraîner l'exposition d'informations sensibles. |
| Liste de blocage des importations crypto/r | G503 | L'utilisation d'un algorithme cryptographique cassé ou risqué constitue un risque inutile qui peut entraîner l'exposition d'informations sensibles. |
| Importer la liste noire net/http/c | G504 | L'utilisation d'un algorithme cryptographique défectueux ou risqué représente un risque inutile qui peut entraîner l'exposition d'informations sensibles. |
| Importer la liste noire crypto/sh | G505 | L'utilisation d'un algorithme cryptographique défectueux ou risqué constitue un risque inutile qui peut entraîner l'exposition d'informations sensibles. |
| Aliasing implicite de mémoire des éléments d'une instruction rang | G601 | Le logiciel ne restreint pas ou restreint incorrectement les opérations à l'intérieur des limites d'une ressource. |