关于 gosec G 的戏剧，或者我如何面对 Go 中的整数转换溢出

go 是一种强类型语言，它可以避免犯错误。

我错误地认为 go 正在处理整数溢出，并报告了错误。

这里是完美的世界，一切都按预期进行

a := int64(42)
b := uint8(a)
fmt.println(b) // 42

那么下面的代码是做什么的

a = 255 + 1    // 255 is the higher value an uint8 can reach
b = uint8(a)
fmt.Println(b) // ?

a = -1
b = uint8(a)
fmt.Println(b) // ?

解决方案在这里

剧透：它没有按预期工作，或者至少没有按我们的预期工作。

这里 go 进行了静默转换，当然它无法将值存储为提供的整数类型，但完全没有错误。

有后果：cwe-190

• 想象一下，您通过标识符访问资源，但需要从整数类型转换为另一种类型，您可能允许访问另一个资源。

因此，gosec 是一个专注于提高 go 安全性的 linter，提供了一个 linter 来检测该问题：linter g115

g115 linter 的想法很好。

但不幸的是，它与一些虚假问题合并，除了少数问题外，这些问题现已得到解决。

gosec v2.21.0 合并到 golangci-lint 后问题变得很严重

许多人禁用了 gosec g115，因为它给 ci 带来了误报和噪音

所以现在很多人不幸禁用了g115检查器，你可以在github上轻松看到它

以上就是关于 gosec G 的戏剧，或者我如何面对 Go 中的整数转换溢出的详细内容，更多请关注其它相关文章！