Vuln

Go プロジェクトの脆弱性スキャンを実行します。govulncheck を使用して既知の脆弱性を検出。

使い方

/shiiman-go:vuln
/shiiman-go:vuln --json
/shiiman-go:vuln --help

オプション

オプション	説明
--json	JSON 形式で出力
--help	このコマンドのヘルプを表示

Claude への指示

--help が指定された場合: このファイルの内容を要約して表示し、終了。

実行手順

1. govulncheck のインストール確認

which govulncheck || go install golang.org/x/vuln/cmd/govulncheck@latest

2. 脆弱性スキャン実行

# 基本的なスキャン
govulncheck ./...

# JSON 形式で出力
govulncheck -json ./...

# バイナリのスキャン
govulncheck -mode=binary ./bin/app

3. 結果レポート

## 脆弱性スキャン結果

### 検出された脆弱性: {N} 件

#### GO-2024-XXXX (Critical)
- **パッケージ**: github.com/xxx/yyy
- **バージョン**: v1.2.3
- **説明**: {脆弱性の説明}
- **影響を受けるコード**: {ファイル:行}
- **修正バージョン**: v1.2.4

#### GO-2024-YYYY (High)
- **パッケージ**: github.com/aaa/bbb
- **バージョン**: v2.0.0
- **説明**: {脆弱性の説明}
- **修正バージョン**: v2.0.1

### 推奨アクション
1. `go get -u github.com/xxx/yyy@v1.2.4`
2. `go get -u github.com/aaa/bbb@v2.0.1`
3. `go mod tidy`
4. `go test ./...` で動作確認

脆弱性の深刻度

レベル	説明
Critical	即座に対応が必要、リモートコード実行など
High	早急に対応が必要、データ漏洩など
Medium	計画的に対応、DoS など
Low	時間があるときに対応

脆弱性対応フロー

1. 検出: govulncheck ./... で脆弱性を検出
2. 評価: 実際にコードで使用されているか確認
3. 更新: 修正バージョンへ更新
4. テスト: 更新後の動作確認
5. デプロイ: 本番環境へ反映

CI/CD への統合

# GitHub Actions の例
- name: Run govulncheck
  run: |
    go install golang.org/x/vuln/cmd/govulncheck@latest
    govulncheck ./...

注意事項

• 定期実行: 定期的に govulncheck を実行して新しい脆弱性を検出
• 誤検知: govulncheck は実際に呼び出されるコードパスのみを報告するため、誤検知が少ない
• 間接依存: 直接依存だけでなく、間接依存の脆弱性も検出される
• 更新後のテスト: 脆弱性修正のための更新後は、必ずテストを実行