Skip to content

Latest commit

 

History

History

代码检查

Folders and files

NameName
Last commit message
Last commit date

parent directory

..
 
 

代码检查工具

代码检查通常会被配置再 CI 中,用于自动检查代码的质量,本次我们介绍三个用于代码检查的工具

  • go vet / go tool vet
  • golangci-lint
  • govulncheck

go vet / go tool vet

go vet 命令是 go tool vet 的简单封装,go vet 实际上还是需要调用 go tool vet 才能完成工作,这俩命令的主要目的就是为了基础的代码检查。不过这个命令只能做简单的检查,下面我们介绍一下更常用的工具。

golangci-lint

首先在介绍 golangci-lint 之前我们先下载它,它是一个 go 语言写的可执行文件,使用

go install  github.com/golangci/golangci-lint/cmd/golangci-lint@latest 

即可下载到本地的~/go/bin/ 目录,这里专门存储使用 go install 下载的使用 go 写的可执行文件,记得将这个路径加入 PATH。

通过在要检查的项目中设置配置文件,用来配置 lint 工具的选项,使用 .golangci.yaml 即可

例如:

run:
  skip-dirs: # 设置要忽略的目录
    - util
    - .*~
    - api/swagger/docs
  skip-files: # 设置不需要检查的go源码文件,支持正则匹配,这里建议包括:_test.go
    - ".*\\.my\\.go$"
    - _test.go
linters-settings:
  errcheck:
    check-type-assertions: true # 这里建议设置为true,如果确实不需要检查,可以写成`num, _ := strconv.Atoi(numStr)`
    check-blank: false
  gci:
    # 将以`github.com/marmotedu/iam`开头的包放在第三方包后面
    local-prefixes: github.com/marmotedu/iam
  godox:
    keywords: # 建议设置为BUG、FIXME、OPTIMIZE、HACK
      - BUG
      - FIXME
      - OPTIMIZE
      - HACK
  goimports:
    # 设置哪些包放在第三方包后面,可以设置多个包,逗号隔开
    local-prefixes: github.com/marmotedu/iam
  gomoddirectives: # 设置允许在go.mod中replace的包
    replace-local: true
    replace-allow-list:
      - github.com/coreos/etcd
      - google.golang.org/grpc
      - github.com/marmotedu/api
      - github.com/marmotedu/component-base
      - github.com/marmotedu/marmotedu-sdk-go
  gomodguard: # 下面是根据需要选择可以使用的包和版本,建议设置
    allowed:
      modules:
        - gorm.io/gorm
        - gorm.io/driver/mysql
        - k8s.io/klog
      domains: # List of allowed module domains
        - google.golang.org
        - gopkg.in
        - golang.org
        - github.com
        - go.uber.org
    blocked:
      modules:
        - github.com/pkg/errors:
            recommendations:
              - github.com/marmotedu/errors
            reason: "`github.com/marmotedu/errors` is the log package used by marmotedu projects."
      versions:
        - github.com/MakeNowJust/heredoc:
            version: "> 2.0.9"
            reason: "use the latest version"
      local_replace_directives: false
  lll:
    line-length: 240 # 这里可以设置为240,240一般是够用的
  importas: # 设置包的alias,根据需要设置
    jwt: github.com/appleboy/gin-jwt/v2         
    metav1: github.com/marmotedu/component-base/pkg/meta/v1

使用 golangci-lint run (等于 golangci-lint run ./... 意思就是把所有的包,子包,遍历完全) 你会得到一个类似:

collie.go:171:41: composites: image/jpeg.Options struct literal uses unkeyed fields (govet)
				if err := jpeg.Encode(file, i.img, &jpeg.Options{q}); err != nil {
				                                    ^
collie.go:241:2: printf: `fmt.Println` arg list ends with redundant newline (govet)
	fmt.Println("声明:本程序来自GitHub:shgopher,欢迎关注公众号:科科人神;\n免费软件,如果使用期间出现任何后果,本软件不承担任何责任谢谢\n")
	^
collie.go:244:2: printf: `fmt.Println` arg list ends with redundant newline (govet)
	fmt.Println("运行结束 ☕️ ☕ ☕\n")
	^
collie.go:162:5: SA9001: defers in this range loop won't run unless the channel gets closed (staticcheck)
				defer file.Close()
				^

这样的结果,这样你就会发现是哪个配置的 linter 发出的警告,以及是什么样子的警告。

govulncheck

go 官方维护了一个 https://vuln.go.dev/ 的漏洞库,我们可以使用 go install golang.org/x/vuln/cmd/govulncheck@latest 的方式,下载目前 (go 1.19) 还在测试阶段的这一功能,govulncheck 将会是一个独立的工具,并且 go 在 https://pkg.go.dev/golang.org/x/vuln/vulncheck 还提供了相关功能的 API,可以更灵活的去使用这个功能,目前已知的即将推出的功能分别是提供 vscode 插件,以及将此功能集成在 pkg.go.dev 这个 go 包的集合地,也就是说只要被收录在这个网站的 go 包都将自动接受漏洞检查,另外,go 以后可能还会将这个功能直接集成在例如 go build 这种常用命令上。

  • 下载 govulncheck go install golang.org/x/vuln/cmd/govulncheck@latest
  • 在一个拥有 go.mod 的目录下,使用 govulncheck 跟上一个有 go 文件的路径,例如:govulncheck ./pkg/watcher

只需要这样简单的设置就可以去检查代码中存在的风险和漏洞,govulncheck 就会打印出这样的信息:

Vulnerability #2: GO-2022-0493
  When called with a non-zero flags parameter, the Faccessat
  function can incorrectly report that a file is accessible.
  Found in: golang.org/x/sys/unix@v0.0.0-20211020064051-0ec99a608a1b
  Fixed in: golang.org/x/sys/unix@v0.0.0-20220412211240-33da011f77ad
  More info: https://pkg.go.dev/vuln/GO-2022-0493

信息中包括了你引用的某些包出现的一些漏洞,在 fix 中有修复的信息,可以把你引用的包进行一个升级。

x/tools 工具系列

https://pkg.go.dev/golang.org/x/tools#section-readme

比如检测变量 shadow 的工具

go install golang.org/x/tools/go/analysis/passes/shadow/cmd/shadow

参考资料