fix and run govulncheck

2026-05-14 15:07:51 +03:00 · 2026-05-14 15:07:51 +03:00 · 5fa0ca0444
commit 5fa0ca0444
parent 5220fca398
6 changed files with 334 additions and 3 deletions
--- a/analysis_report.md
+++ b/analysis_report.md
@ -14,7 +14,7 @@ Go версии 1.24, Debian 13.

 * Gosec - ориентирован на поиск проблем с безопасностью, нашёл (как и bearer) проблему с путём загрузки конфига и (в отличие от bearer) предложил способ исправления.

-* Golangci-lint - больше линтер, нежели статический анализатор, указал только на возможную замену if с условием "ИЛИ" на switch (я считаю, что это false positive).
+* Golangci-lint - больше линтер, нежели статический анализатор, указал только на возможную замену if с условием, содержащем "ИЛИ", на switch (я считаю, что это false positive).

 * Svace (svacer) - проприетарный инструмент, который был развёрнут во внутренней сети компании и был также использован, но не был включён в итоги;
 было одно срабатывание на код самого приложения и достаточно много - на использованные модули; по моему мнению, все срабатывания - false positive.
@ -45,3 +45,12 @@ Go хорош тем, что не даёт скомпилировать прог
 * golang.org/x/term - библиотека для функций работы с терминалом, используется для скрытия пароля при его вводе

 * golang.org/x/sys - зависимость golang.org/x/term для низкоуровневой работы с ОС
+
+Анализ зависимостей на известные уязвимости с помощью утилиты govulncheck дал такой результат (это именно вызовы уязвимых функций, подробнее см. в директории govulncheck):
+
+Vulnerability #1: GO-2026-4341 Memory exhaustion in query parameter parsing in net/url (More info: https://pkg.go.dev/vuln/GO-2026-4341)
+
+Vulnerability #2: GO-2025-3849 Incorrect results returned from Rows.Scan in database/sql (More info: https://pkg.go.dev/vuln/GO-2025-3849)
+
+Your code is affected by 2 vulnerabilities from the Go standard library.
+This scan also found 4 vulnerabilities in packages you import and 29 vulnerabilities in modules you require, but your code doesn't appear to call these vulnerabilities.