Google 孵化了三个Go安全库，推荐使用！

大家好，我是煎鱼。

Google 作为一家用户体量很大的企业，有非常多的产品，经常会被黑客攻击或被拿来练手。

因此其设计的产品、编程语言、工具库等都会要求考虑安全性相关的内容。例如：各种供应链攻击、CWE 等安全的查缺补漏等。

我们作为用户（使用者），可以 “白嫖” 这些功能实现。直接复用在自家的业务上就可以了。这样每年在护网上都能省不少劲。

三个 Go 安全库

本次 Google 输出了三个新的 Go 开源库，能够提供安全、高效的解决方案。接下来会给大家分享安全库官方的一些案例和设计思路、方向。

图片

本次介绍涉及如下几个库：

• SafeText[1]：用于 YAML 和 shell 命令模板，指的是对标 text/template 的安全增强。
• SafeOpen[2]：用于打开目录中的文件，指的是对标 os.Open 等的安全增强。
• SafeArchive[3]：用于处理归档文件，指的就是压缩文件的处理，对标 archive/tar 和 archive/zip 等的安全增强。

解决了什么问题

这些库经过精心设计，可应对常见的安全攻击，可以防范 CWE TOP25 中的以下弱点：

图片

• #5 CWE-78[4]：操作系统命令中使用的特殊元素中和不当（操作系统命令注入）。
• #6 CWE-20[5]：特殊情况下，输入验证不当。
• #8 CWE-22[6]：对受限目录的路径名限制不当（路径遍历）。

这几个 Safe 系列库提供了强大的保护机制。只要使用这几个库，即使输入是由攻击者输入的，也能以无漏洞的方式执行这些基本的系统操作。

库使用和案例

SafeText

SafeText 库，是 2023 年初发布的第一个安全库的家族成员。

Google 要创造这一库的原因是：内部在使用 text/template 做开发基于 YAML 的应用程序时，经常受到 YAML 注入的攻击。

YAML 模板

SafeText 库被设计为 text/template 的直接替代品。我们可以用它来处理 YAML 模板，就像使用 text/template 一样。

两者不同的地方是：当检测到注入时，SafeText 库会返回错误。

以下是例子，假设模板如下：

---
sensitive: data
innocent: "{{ .input}}"

当使用 text/template 时，如果攻击者控制了 .input 的值，他们就可以注入换行符，覆盖其他字段或更改文档结构。

根据不同的使用情况，影响可能是严重的。例如：当变更的结果被用作生产系统的配置文件时。

如果是使用 SafeText 库时，SafeText 将返回错误信息：YAML Injection Detected,，并阻止这类可能的侵入式攻击。

Shell 命令模板

在该库原有 YAML 功能的基础上，Safe 库还增加了对 shell 命令模板的支持。

设计上考虑的是：确保输入字符串不会被注入额外的命令或标志，而不考虑潜在的错误转义。（保证安全，接受部分错误的可能）

以下是例子，假设易受攻击如下：

result := fmt.Sprintf("git commit -m %s", message)

如果信息变量受攻击者控制，且连接字符串在某个时刻被执行，那么这就是一个漏洞。

根据攻击的具体执行情况，操作系统命令或可执行文件（本例中为 git cli）的参数都可能被注入。

如果使用 Safe 库提高的 shsprintf 系列函数，例如：

message := "`脑子进煎鱼了...`"
result, err := shsprintf.Sprintf("git commit -m %s", message)

或是：

message := "`煎鱼进脑子了`"
result := shsprintf.MustSprintf("git commit -m %s", shsprintf.EscapeDefaultContext(message))

两个例子都能检测到注入尝试。第一个会返回错误，第二个则会引起恐慌。可以有效起到防护的作用。

SafeOpen

SafeOpen 库的设计目的是：防止路径遍历攻击，它通过提供在基本目录内打开文件的函数来实现这一目的。

其原理很简单：需要你指定一个受信任的根目录，该库就会强制要求文件操作不能超出该目录。

保护的缘由是：当要打开的文件路径名受攻击者控制（这意味着它可能包含 ./ 路径组件）或根目录 "不干净"（例如它包含符号链接）时，它就能提供强大的保护，因为无法跨过你所指定的目录范围。

SafeOpen 库的使用例子，如下代码：

rootDir:= "/data"
f, err := safeopen.OpenBeneath(rootDir, userInput)
if err != nil {
    t.Fatalf("OpenBeneath(%q, %q) error: %v", rootDir, userInput, err)
}
// ... use f as an *os.File just like before

该库对标以下几个函数：

• os.Open
• os.OpenFile
• os.Create
• os.ReadFile
• os.WriteFile

SafeArchive

SafeArchive 库的设计目的是：防止路径遍历攻击（又称 zip slip）以及与处理归档文件相关的各种攻击。

该库可直接替换 Go 标准库中的的 archive/tar 和 archive/zip，直接换包的导入路径就可以了。使用后，压缩包中如果包含恶意信息，发现后将会被清除。

例子如下：如果该库遇到包含恶意条目 ./././././etc/cron.daily/cronjob 的 .zip 文件，该库会清理该名称，并返回为干净的 etc/cron.daily/cronjob。

代码如下：

tr := tar.NewReader(buf)
tr.SetSecurityMode(tr.GetSecurityMode() | tar.SanitizeFileMode | tar.DropXattrs)

另外还支持了许多额外保护措施，例如：跳过特殊文件、净化文件权限、净化文件名、防止通过符号链接进行遍历等；

代码如下：

tr.SetSecurityMode(tar.MaximumSecurityMode)

又或是：

tr.SetSecurityMode(tr.GetSecurityMode() &^ tar.SanitizeFileMode)

总结

这三个安全库 SafeText、SafeOpen、SafeArchive 是非常典型的代表类别，通过这几个库我们可以从解决一些漏洞类的问题。