Проверяем защищённость приложения на Go: с чего начать

[Vitaly83vvp]

Ожидал увидеть методы проверки, применимые в Go, а тут только рекомендации, которые применимы ко всем языкам программирования:

• пользовательские данные нужно проверять

• использовать проверенные пакеты/библиотеки для шифрования

• не использовать потерявшие актуальность/криптостойкость алгоритмы
  

[igor6130]

Как может выглядеть плохая обработка входных данных в псевдокоде

А почему это псевдокод? Обычный код на Go.

[bogolt]

Статья к языку го не имеет никакого отношения

[Stas911]

Было бы интересно узнать про методы автоматического контроля распространенных проблем в API. Есть какие-то статические анализаторы, которые это ловят?

[L1-1on]

Привет и спасибо за вопрос!
Автоматическое сканирование API, анализ его плюсов и минусов заслуживает отдельной статьи. На данный момент мы занимаемся ручной верификацией и поисков проблем в эндпоинтах используя Swagger Inspector. Также присматриваемся к расширениям для тестирования безопасности OpenAPI от компаний 42Crunch и StackHawk.

[Eabqaria]

Советовать хранить пароли как SHA256(password + salt) — это, конечно, сильно. Чем не угодили Argon2, scrypt или bcrypt?

[L1-1on]

Привет! Спасибо за вопрос! Это просто пример - база, base. Если вы обратите внимание на текст, то там будут рекомендации, не исключающие использование алгоритмов, перечисленных вами.