名称： go-security-vulnerability
描述： "使用 govulncheck 识别、评估和修复 Go 模块中的安全漏洞。处理常见漏洞（如 JWT 问题），并在修复过程中确保应用稳定性。"
元数据：
{
"openclaw":
{
"emoji": "🔒",
"requires": { "bins": ["go"] },
"install":
[
{
"id": "golang",
"kind": "script",
"script": "curl -L https://golang.org/dl/go1.21.5.linux-amd64.tar.gz | tar -C /usr/local -xzf -",
"bins": ["go"],
"label": "安装 Go",
},
],
},
}

Go 安全漏洞处理技能

使用 Go 工具链识别、评估和修复 Go 模块中的安全漏洞。本技能帮助检测并修复漏洞，同时保持应用功能正常。

漏洞检测

扫描 Go 项目中的漏洞：

go install golang.org/x/vuln/cmd/govulncheck@latest
govulncheck ./...

检查特定模块的已知漏洞：

govulncheck -show verbose ./...

评估流程

1. 识别受影响包：确定哪些依赖包含漏洞
2. 检查严重性：查看 CVE 详情和潜在影响
3. 验证使用情况：确认漏洞函数是否在代码中被实际调用
4. 制定修复计划：选择合适的修复策略

常用修复策略

直接依赖更新

将存在漏洞的包更新至安全版本：

go get -u vulnerable/package@latest
go mod tidy

传递依赖处理

对于传递依赖中的漏洞：

go mod why vulnerable/package  # 了解其被引入的原因
go mod edit -replace vulnerable/package=newer-version  # 如有需要，进行替换
go mod tidy

移除策略

如果依赖未使用或可被替代：

1. 移除对漏洞代码的直接导入
2. 运行 go mod tidy 清理未使用的依赖
3. 验证应用功能是否保持完整

验证步骤

应用修复后：

# 验证是否已无漏洞
govulncheck ./...

# 确保应用仍可构建
go build ./...

# 运行测试以验证功能
go test ./...

常见漏洞

JWT 库

• 问题：github.com/golang-jwt/jwt GO-2025-3553（内存分配过多）
• 修复：更新至新版本或改用 golang.org/x/oauth2 等替代方案

标准库更新

• 保持 Go 版本更新以获取安全补丁
• 运行 go vuln 检查标准库漏洞

最佳实践

• 定期使用 govulncheck 扫描依赖
• 使用 go get -u 保持依赖更新
• 使用 go mod tidy 移除未使用的依赖
• 漏洞修复后进行全面测试
• 使用自动化工具监控新漏洞