在我们开发的过程中,会涉及到很多数据的处理以及相应的代码逻辑,如果不小心,可能会导致BUG,甚至被恶意利用的漏洞。比如内存溢出、下标越界、空指针异常等等。
对于一个经验丰富的开发人员,会在自己编写代码的时候,会潜意识的处理这些问题,这就是资深开发的宝贵经验,所以他们的代码上线后,很少出现问题,对于更NB的开发,他们甚至有自己的一套代码工具箱,都是他们多年编码经验的总结,拿来即用。相反对于一个初级开发人员,可能就不会处理了,甚至可能想不到,所以资深开发的价值就能很好的体现出来。
但是,一个团队,总不能要求所有人都是资深开发,同理整个公司、整个行业也是一样的,所以就有了很多框架、工具以及规范,这些可以让我们站在前辈们的肩膀上,也能写出来优异的代码。
这不,前几天逛GitHub的时候,发现腾讯发布了代码安全指南,旨在梳理API层面的风险点并提供详实可行的安全编码方案。
基于DevSecOps理念,我们希望用开发者更易懂的方式阐述安全编码方案,引导从源头规避漏洞。
https://github.com/Tencent/secguide
腾讯这次一口气发布了6种语言的代码安全指南:C/C++、Go、Java、Node、JavaScript、Python,我们主要介绍Go语言的代码安全指南。
1.1.1切片长度校验
- 在对slice进行操作时,必须判断长度是否合法,防止程