npm - @zhuma4/cli - Versions diffs - 4.0.0-alpha.1 → 4.3.0 - Mend

@zhuma4/cli 4.0.0-alpha.1 → 4.3.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (1128) hide show

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@zhuma4/cli",
-  "version": "4.0.0-alpha.1",
+  "version": "4.3.0",
   "description": "逐码 CLI — 命令行代码安全审计工具 (SAST + SCA)",
   "main": "dist/index.js",
   "bin": {
@@ -21,7 +21,7 @@
     "prepublishOnly": "node scripts/copy-rules.mjs"
   },
   "dependencies": {
-    "@zhuma4/sdk": "^4.0.0-alpha.1",
+    "@zhuma4/sdk": "4.3.0",
     "commander": "^13.0.0",
     "chalk": "^5.4.0",
     "ora": "^8.2.0"
@@ -33,7 +33,14 @@
     "type": "git",
     "url": "https://github.com/zeracker/zhuma-v4"
   },
-  "keywords": ["sast", "security", "code-analysis", "semgrep", "sca", "supply-chain"],
+  "keywords": [
+    "sast",
+    "security",
+    "code-analysis",
+    "semgrep",
+    "sca",
+    "supply-chain"
+  ],
   "license": "Apache-2.0",
   "engines": {
     "node": ">=18.0.0"

package/rules/common/zm-go-cwe1336-template-injection.yaml ADDED Viewed

@@ -0,0 +1,38 @@
+rules:
+  - id: zm-go-template-injection-001
+    severity: ERROR
+    message: >-
+      使用text/template处理HTML内容。text/template不做HTML转义，用户输入直接注入HTML造成XSS。
+      必须用html/template替代。CVE-2019-11888。
+      修复：import "text/template" → import "html/template"。
+    languages:
+      - go
+    patterns:
+      - pattern-either:
+          - pattern: $T.Execute($W, $DATA)
+          - pattern: $T.ExecuteTemplate($W, $NAME, $DATA)
+    metadata:
+      cwe: "CWE-1336"
+      confidence: MEDIUM
+      likelihood: HIGH
+      impact: CRITICAL
+      owasp: "A03:2021"
+      cve: "CVE-2019-11888"
+      category: template-injection
+  - id: zm-go-template-injection-002
+    severity: ERROR
+    message: >-
+      文件同时导入text/template和net/http。Web应用可能用text/template处理HTTP响应存在XSS。
+      修复：改用html/template。
+    languages:
+      - go
+    patterns:
+      - pattern-regex: '"text/template"'
+    metadata:
+      cwe: "CWE-1336"
+      confidence: LOW
+      likelihood: MEDIUM
+      impact: CRITICAL
+      owasp: "A03:2021"
+      cve: "CVE-2019-11888"
+      category: template-injection

package/rules/common/zm-go-cwe200-grpc-metadata.yaml ADDED Viewed

@@ -0,0 +1,40 @@
+rules:
+  - id: zm-go-grpc-meta-001
+    severity: ERROR
+    message: >-
+      gRPC metadata明文传输"authorization"/"token"/"api-key"等认证凭据。
+      若不使用TLS则以明文在HTTP/2帧中发送，可被网络嗅探获取。
+      修复：使用TLS加密gRPC连接(credentials.NewClientTLSFromCert)，
+      或使用应用层加密传输敏感元数据。
+    languages:
+      - go
+    patterns:
+      - pattern-either:
+          - pattern: $X.New($Y, "$Z")
+    metadata:
+      cwe: "CWE-200"
+      confidence: HIGH
+      likelihood: MEDIUM
+      impact: HIGH
+      owasp: "A04:2021"
+      category: grpc-security
+      cve: "CVE-2022-31081"
+  - id: zm-go-grpc-meta-002
+    severity: WARNING
+    message: >-
+      gRPC metadata Append/Set方法设置敏感键名("authorization"/"token"等)。
+      若gRPC连接未加密，这些元数据将以明文传输。
+      修复：确保gRPC使用TLS，或用protobuf消息体传输敏感数据。
+    languages:
+      - go
+    patterns:
+      - pattern-either:
+          - pattern: $X.Append("$Z", $VAL)
+          - pattern: $X.Set("$Z", $VAL)
+    metadata:
+      cwe: "CWE-200"
+      confidence: MEDIUM
+      likelihood: MEDIUM
+      impact: HIGH
+      owasp: "A04:2021"
+      category: grpc-security

package/rules/common/zm-go-cwe319-grpc-notls.yaml ADDED Viewed

@@ -0,0 +1,118 @@
+# CWE-319: Go gRPC 明文传输（无TLS）
+# 逐码 ZhuMa V4.1 — Go 通用规则库
+# 检测: gRPC Server 未配置TLS / gRPC Client使用 insecure 拨号
+rules:
+# ZM-GO-GRPC-001: gRPC Server 未启用TLS
+- id: zm-go-grpc-tls-001
+  severity: ERROR
+  message: |
+    检测到 gRPC Server 未配置 TLS 传输层加密，所有通信数据将以明文
+    在网络上传输。攻击者可通过中间人攻击（MITM）窃听或篡改 RPC 调用，
+    包括认证令牌、业务数据和敏感参数。
+    CVE参考:
+    - CVE-2022-31081: gRPC Go 明文通信可被中间人攻击利用
+    - 违反 NIST SP 800-52 Rev.2 TLS 传输层加密要求
+    修复方案:
+    1. 使用 grpc.Creds(credentials.NewServerTLSFromFile(certFile, keyFile))
+    2. 生产环境使用来自 Let's Encrypt 或企业 CA 的有效证书
+    3. 开发环境可使用 insecure.NewCredentials() + 网络隔离，但禁止用于生产
+    4. 配置 TLS 1.2+ 并禁用弱密码套件
+    5. 服务间通信使用 mTLS 双向认证
+  languages:
+    - go
+  pattern-either:
+    - pattern: |
+        grpc.NewServer()
+    - pattern: |
+        grpc.NewServer(grpc.Creds(insecure.NewCredentials()))
+  metadata:
+    cwe: "CWE-319: Cleartext Transmission of Sensitive Information"
+    severity: ERROR
+    precision: high
+    category: grpc-security
+    likelihood: HIGH
+    impact: HIGH
+    cve: "CVE-2022-31081"
+    owasp: "A02:2021 - Cryptographic Failures"
+    references:
+      - "https://grpc.io/docs/guides/auth/"
+      - "https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-52r2.pdf"
+# ZM-GO-GRPC-002: gRPC Client 使用 insecure 连接
+- id: zm-go-grpc-tls-002
+  severity: ERROR
+  message: |
+    检测到 gRPC Client 使用 grpc.WithInsecure()（已弃用）或
+    insecure.NewCredentials() 建立明文连接。攻击者可通过中间人攻击
+    拦截和篡改 gRPC 请求/响应，窃取认证令牌或注入恶意数据。
+    CVE参考:
+    - CVE-2019-9512/CVE-2019-9514/CVE-2019-9515: HTTP/2 DoS 漏洞，
+      使用明文 gRPC 时加剧影响
+    - gRPC-Go v1.43.0 起 WithInsecure() 已标记为弃用
+    修复方案:
+    1. 使用 grpc.WithTransportCredentials(credentials.NewClientTLSFromCert(...))
+    2. 使用 grpc.WithCredentialsBundle 配置完整TLS
+    3. 至少使用系统根CA: credentials.NewClientTLSFromCert(nil, "")
+    4. 禁止在生产代码中使用 insecure 包
+  languages:
+    - go
+  pattern-either:
+    - pattern: grpc.WithInsecure()
+    - pattern: grpc.Dial($ADDR, grpc.WithInsecure(), ...)
+    - pattern: grpc.DialContext($CTX, $ADDR, grpc.WithInsecure(), ...)
+    - pattern: grpc.Dial($ADDR, grpc.WithTransportCredentials(insecure.NewCredentials()))
+    - pattern: grpc.NewClient($ADDR, grpc.WithTransportCredentials(insecure.NewCredentials()))
+  metadata:
+    cwe: "CWE-319: Cleartext Transmission of Sensitive Information"
+    severity: ERROR
+    precision: high
+    category: grpc-security
+    likelihood: HIGH
+    impact: HIGH
+    owasp: "A02:2021 - Cryptographic Failures"
+    references:
+      - "https://github.com/grpc/grpc-go/issues/5087"
+      - "https://grpc.io/docs/guides/auth/"
+# ZM-GO-GRPC-003: gRPC Service 无认证拦截器
+- id: zm-go-grpc-auth-001
+  severity: ERROR
+  message: |
+    检测到 gRPC Server 注册了Service但未配置认证拦截器（UnaryInterceptor
+    或 StreamInterceptor）。缺少认证机制意味着任何可网络访问该服务的
+    攻击者都可以调用所有 RPC 方法，执行任意操作。
+    常见危险场景:
+    - 微服务架构中 gRPC 端口未做网络隔离且无认证
+    - 暴露在公网或内网中的 gRPC 服务无 JWT/OAuth2 校验
+    修复方案:
+    1. Unary RPC 认证:
+       grpc.UnaryInterceptor(grpc_auth.UnaryServerInterceptor(authFunc))
+    2. Stream RPC 认证:
+       grpc.StreamInterceptor(grpc_auth.StreamServerInterceptor(authFunc))
+    3. 使用 grpc-ecosystem/go-grpc-middleware 的 auth 中间件
+    4. 实现 JWT/OAuth2/mTLS Token 校验逻辑
+    5. 结合网络策略限制 gRPC 端口访问来源
+  languages:
+    - go
+  pattern-either:
+    - pattern: $SERVER.RegisterService($SD, $IMPL)
+    - pattern: $SERVER.RegisterService($SD, $SS)
+  metadata:
+    cwe: "CWE-306: Missing Authentication for Critical Function"
+    severity: ERROR
+    precision: medium
+    category: grpc-security
+    likelihood: HIGH
+    impact: CRITICAL
+    owasp: "A01:2021 - Broken Access Control"
+    references:
+      - "https://github.com/grpc-ecosystem/go-grpc-middleware/tree/main/auth"
+      - "https://grpc.io/docs/guides/auth/"

package/rules/common/zm-go-cwe338-weak-prng.yaml ADDED Viewed

@@ -0,0 +1,117 @@
+# CWE-338: Go crypto/rand vs math/rand 误用检测
+# 逐码 ZhuMa V4.1 — Go 通用规则库
+# 检测: 安全场景使用 math/rand 而非 crypto/rand
+rules:
+# ZM-GO-RAND-001: 安全场景使用 math/rand
+- id: zm-go-weakrand-001
+  severity: ERROR
+  message: |
+    检测到在安全场景中使用了 math/rand 而非 crypto/rand。
+    math/rand 使用伪随机数生成器（PRNG），基于可预测的种子，不适用于
+    任何密码学安全场景。攻击者可预测生成的"随机"值。
+    安全场景包括但不限于：
+    - 生成 Session ID / CSRF Token / 密码重置 Token
+    - 生成 API Key / Access Token / 密钥
+    - 生成随机 nonce（加密随机数）
+    - 生成验证码 / OTP
+    - 随机排序/洗牌用于安全决策
+    math/rand 种子仅 64bit，枚举空间远小于现代密码学要求的 128bit+。
+    CVE参考:
+    - CVE-2020-28917: Go Web 应用使用 math/rand 生成会话Token可被预测
+    - CVE-2021-29923: Go 标准库 math/rand 种子可预测导致认证绕过
+    修复方案:
+    1. 替换: import "math/rand" → import "crypto/rand"
+    2. 生成随机字节: rand.Read(b) (crypto/rand)
+    3. 生成随机整数: rand.Int(rand.Reader, max) (crypto/rand)
+    4. 生成随机字符串: 使用 crypto/rand 读取字节后编码为 base64/hex
+       b := make([]byte, 32)
+       rand.Read(b)
+       token := hex.EncodeToString(b)
+    5. 使用 ulid.New() 或 uuid.NewRandom() 等基于 crypto/rand 的高级库
+  languages:
+    - go
+  pattern-either:
+    - pattern: rand.Intn($N)
+    - pattern: rand.Int63n($N)
+    - pattern: rand.Int31n($N)
+    - pattern: rand.Int()
+    - pattern: rand.Int63()
+    - pattern: rand.Int31()
+    - pattern: rand.Float64()
+    - pattern: rand.Float32()
+    - pattern: rand.Read($B)
+    - pattern: rand.Perm($N)
+    - pattern: rand.Shuffle($N, $FN)
+    - pattern: rand.Seed($SEED)
+    - pattern: rand.NewSource($SEED)
+  metadata:
+    cwe: "CWE-338: Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG)"
+    severity: ERROR
+    precision: medium
+    category: crypto
+    likelihood: HIGH
+    impact: CRITICAL
+    cve: "CVE-2020-28917"
+    owasp: "A02:2021 - Cryptographic Failures"
+    references:
+      - "https://pkg.go.dev/crypto/rand"
+      - "https://pkg.go.dev/math/rand"
+      - "https://cwe.mitre.org/data/definitions/338.html"
+# ZM-GO-RAND-002: math/rand 用于 Token 生成
+- id: zm-go-weakrand-002
+  severity: CRITICAL
+  message: |
+    检测到使用 math/rand（而非 crypto/rand）配合字符串构建生成
+    Token/Session/Key 等安全敏感值。math/rand 的种子空间仅为 2^64，
+    现代硬件可轻松暴力枚举。攻击者可预测所有后续"随机"值。
+    典型危险模式:
+    import "math/rand"
+    const charset = "abcdefghijklmnopqrstuvwxyz0123456789"
+    func GenerateToken() string {
+      b := make([]byte, 32)
+      for i := range b {
+        b[i] = charset[rand.Intn(len(charset))]  // ← 可预测！
+      }
+      return string(b)
+    }
+    CVE参考:
+    - CVE-2020-28917: math/rand 产生的Session Token可预测
+    - CVE-2019-19886: Go 应用使用弱PRNG导致管理员Token被枚举
+    修复方案:
+    1. 使用 crypto/rand 生成随机字节:
+       b := make([]byte, 32)
+       if _, err := rand.Read(b); err != nil { panic(err) }
+       return base64.URLEncoding.EncodeToString(b)
+    2. 使用 google/uuid: uuid.Must(uuid.NewRandom())
+    3. 使用 oklog/ulid: ulid.MustNew(ulid.Timestamp(time.Now()), entropy)
+    4. 代码审查：搜索 math/rand 的 import，确认不在安全上下文中使用
+  languages:
+    - go
+  pattern-either:
+    - pattern: charset[rand.Intn(len(charset))]
+    - pattern: alphabet[rand.Intn(len(alphabet))]
+    - pattern: letters[rand.Intn(len(letters))]
+    - pattern: digits[rand.Intn(len(digits))]
+    - pattern: $CHARSET[rand.Intn(len($CHARSET))]
+  metadata:
+    cwe: "CWE-338: Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG)"
+    severity: CRITICAL
+    precision: high
+    category: crypto
+    likelihood: HIGH
+    impact: CRITICAL
+    cve: "CVE-2020-28917"
+    owasp: "A02:2021 - Cryptographic Failures"
+    references:
+      - "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-28917"
+      - "https://github.com/golang/go/issues"

package/rules/common/zm-go-cwe347-jwt.yaml ADDED Viewed

@@ -0,0 +1,147 @@
+# CWE-347: Go JWT 安全检测
+# 逐码 ZhuMa V4.1 — Go 通用规则库
+# 检测: JWT alg:none / 弱密钥 / 未验证签名 / 硬编码密钥
+rules:
+# ZM-GO-JWT-001: JWT alg=none 未禁用
+- id: zm-go-jwt-alg-none-001
+  severity: CRITICAL
+  message: |
+    检测到 JWT 解析使用了可能接受 alg=none 签名的配置。
+    若未显式验证签名算法，攻击者可构造 header 中 alg 为 "none"
+    的 JWT Token，伪造任意身份绕过认证。
+    攻击流程:
+    1. 攻击者构造 JWT: header={"alg":"none","typ":"JWT"}, payload={"sub":"admin"}
+    2. 签名部分置空: signature=""
+    3. 若服务端未禁用 none 算法，接受此Token为有效
+    4. 攻击者以管理员身份访问任意受保护资源
+    CVE参考:
+    - CVE-2015-9235: alg=none 导致JWT签名验证被绕过
+    - CVE-2018-1000531: JWT库未正确验证算法导致认证绕过
+    - CVE-2020-28042: golang-jwt v3 未安全处理算法验证
+    修复方案:
+    1. 使用 ParseWithClaims 时指定算法:
+       jwt.ParseWithClaims(tokenString, &claims, func(token *jwt.Token) (interface{}, error) {
+         if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
+           return nil, fmt.Errorf("unexpected signing method: %v", token.Header["alg"])
+         }
+         return []byte(secretKey), nil
+       })
+    2. 明确检查 token.Method.Alg() 是否在允许的算法列表中
+    3. 使用 jose2go 等更安全的JWT库（默认禁用 none）
+    4. 绝对禁止允许 alg=none 用于生产环境
+  languages:
+    - go
+  pattern-either:
+    - pattern: jwt.Parse($TOKEN, $KEYFUNC)
+    - pattern: jwt.ParseWithClaims($TOKEN, $CLAIMS, $KEYFUNC)
+    - pattern: jwt.NewParser().Parse($TOKEN, $KEYFUNC)
+    - pattern: jwt.NewParser().ParseWithClaims($TOKEN, $CLAIMS, $KEYFUNC)
+  metadata:
+    cwe: "CWE-347: Improper Verification of Cryptographic Signature"
+    severity: CRITICAL
+    precision: high
+    category: jwt
+    likelihood: HIGH
+    impact: CRITICAL
+    cve: "CVE-2015-9235"
+    owasp: "A01:2021 - Broken Access Control"
+    references:
+      - "https://auth0.com/blog/critical-vulnerabilities-in-json-web-token-libraries/"
+      - "https://pkg.go.dev/github.com/golang-jwt/jwt/v5"
+# ZM-GO-JWT-002: JWT 弱HMAC密钥
+- id: zm-go-jwt-weak-key-001
+  severity: CRITICAL
+  message: |
+    检测到 JWT HMAC 签名使用了弱密钥（长度 < 256bit 或硬编码字符串）。
+    攻击者可通过暴力破解或字典攻击恢复签名密钥，伪造任意用户的 JWT Token。
+    密钥强度要求:
+    - HS256: 最少 256 bit (32 字节) 随机密钥
+    - HS384: 最少 384 bit (48 字节)
+    - HS512: 最少 512 bit (64 字节)
+    - 禁止使用简短字符串如 "secret", "password123", "key" 等
+    CVE参考:
+    - CVE-2016-10555: RS/HS256 JWT 密钥混淆可导致算法降级攻击
+    - CVE-2018-0114: 弱JWT密钥导致认证绕过
+    - CVE-2022-39236: golang-jwt 弱密钥验证不足
+    修复方案:
+    1. 使用 crypto/rand 生成至少 256bit 随机密钥:
+       key := make([]byte, 32)
+       rand.Read(key)
+    2. 使用 RS256 (RSA) 或 ES256 (ECDSA) 替代 HMAC（可保护私钥）
+    3. 将密钥存储于环境变量或密钥管理服务，禁止硬编码
+    4. 定期轮换 JWT 签名密钥
+    5. 在处理密钥时始终验证 token.Method.Alg()
+  languages:
+    - go
+  pattern-either:
+    - pattern: jwt.SigningMethodHS256
+    - pattern: jwt.SigningMethodHS384
+    - pattern: jwt.SigningMethodHS512
+    - pattern: "jwt.SigningMethodRS256"
+  metadata:
+    cwe: "CWE-347: Improper Verification of Cryptographic Signature"
+    severity: CRITICAL
+    precision: high
+    category: jwt
+    likelihood: HIGH
+    impact: CRITICAL
+    cve: "CVE-2022-39236"
+    owasp: "A02:2021 - Cryptographic Failures"
+    references:
+      - "https://pkg.go.dev/github.com/golang-jwt/jwt/v5"
+      - "https://datatracker.ietf.org/doc/html/rfc7518#section-3.2"
+# ZM-GO-JWT-003: JWT 未验证过期/签发时间
+- id: zm-go-jwt-exp-001
+  severity: HIGH
+  message: |
+    检测到 JWT token 解析时未检查 exp（过期时间）或 nbf（生效时间）
+    声明。攻击者可能使用已过期的 Token 或未来将生效的 Token 进行
+    未授权访问。
+    JWT 关键时间声明:
+    - exp (Expires At): Token 过期时间，超过此时间应拒绝
+    - nbf (Not Before): Token 生效时间，早于此时间应拒绝
+    - iat (Issued At): Token 签发时间，用于检测异常签发时间
+    - jti (JWT ID): 用于防止重放攻击
+    CVE参考:
+    - CVE-2021-21309: Redis Labs 未验证 JWT 过期导致会话永不过期
+    - CVE-2020-15092: JWT 过期验证缺失导致认证绕过
+    修复方案:
+    1. 使用 jwt.RegisteredClaims（jwt/v5）而非 jwt.StandardClaims（v4已弃用）
+    2. 使用 ParseWithClaims 自动验证时间声明:
+       opts := []jwt.ParserOption{jwt.WithLeeway(30 * time.Second)}
+       token, err := jwt.ParseWithClaims(tokenStr, &jwt.RegisteredClaims{},
+         keyFunc, opts...)
+    3. 使用 jwt.WithValidMethods() 限制允许的算法
+    4. 实现 Token 黑名单或 jti 重放检测
+    5. 设置合理的过期时间（Access Token: 15-60分钟，Refresh Token: 7-30天）
+  languages:
+    - go
+  pattern-either:
+    - pattern: |
+        $TOKEN, $ERR := jwt.Parse($TOKENSTR, $KEYFUNC)
+    - pattern: |
+        $TOKEN, $ERR := jwt.ParseWithClaims($TOKENSTR, &$CLAIMS, $KEYFUNC)
+  metadata:
+    cwe: "CWE-613: Insufficient Session Expiration"
+    severity: HIGH
+    precision: high
+    category: jwt
+    likelihood: HIGH
+    impact: HIGH
+    owasp: "A01:2021 - Broken Access Control"
+    references:
+      - "https://pkg.go.dev/github.com/golang-jwt/jwt/v5"
+      - "https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.4"

package/rules/common/zm-go-cwe693-gin-middleware.yaml ADDED Viewed

@@ -0,0 +1,48 @@
+rules:
+  - id: zm-go-gin-auth-001
+    severity: ERROR
+    message: >-
+      Gin路由组未完整覆盖认证中间件。攻击者可绕过认证访问敏感API。
+      修复：在Group上使用Use()后所有子路由通过Group注册。
+    languages: [go]
+    patterns:
+      - pattern: $R.Use($MIDDLEWARE)
+    metadata:
+      cwe: "CWE-693"
+      confidence: LOW
+      likelihood: MEDIUM
+      impact: HIGH
+      owasp: "A01:2021"
+      category: gin-security
+      cve: "CVE-2023-24539"
+  - id: zm-go-gin-bind-001
+    severity: WARNING
+    message: >-
+      Gin c.ShouldBindJSON绑定结构体但缺少validate标签约束。
+      修复：添加binding标签(required/min/max/url等)。
+    languages: [go]
+    patterns:
+      - pattern: $C.ShouldBindJSON(&$OBJ)
+    metadata:
+      cwe: "CWE-20"
+      confidence: MEDIUM
+      likelihood: MEDIUM
+      impact: MEDIUM
+      owasp: "A03:2021"
+      category: gin-security
+  - id: zm-go-gin-next-bypass-001
+    severity: ERROR
+    message: >-
+      Gin中间件中使用c.Next()位置不当可能导致认证绕过。
+      修复：确保认证检查在c.Next()调用之前完成。
+    languages: [go]
+    patterns:
+      - pattern: $C.Next()
+    metadata:
+      cwe: "CWE-693"
+      confidence: LOW
+      likelihood: MEDIUM
+      impact: HIGH
+      owasp: "A01:2021"
+      category: gin-security
+      cve: "CVE-2023-24539"

package/rules/common/zm-go-cwe693-security-headers.yaml ADDED Viewed

@@ -0,0 +1,120 @@
+# CWE-693: Go HTTP 安全头缺失检测
+# 逐码 ZhuMa V4.1 — Go 通用规则库
+# 检测: net/http 服务缺失安全响应头 / Gin 框架未配置安全头
+rules:
+# ZM-GO-HDR-001: HTTP 响应缺失 Content-Security-Policy
+- id: zm-go-sec-header-001
+  severity: WARNING
+  message: |
+    检测到 HTTP handler 中未设置 Content-Security-Policy (CSP) 响应头。
+    CSP 是防御 XSS、数据注入、Clickjacking 攻击的核心安全头。
+    缺失 CSP 意味着浏览器将执行页面中所有脚本，包括攻击者注入的恶意脚本。
+    CSP 可防御的攻击类型：
+    - XSS（跨站脚本攻击）- 限制 script-src
+    - 数据注入 - 限制 style-src/img-src/connect-src
+    - Clickjacking - frame-ancestors
+    - CSS 注入 - style-src
+    - 表单劫持 - form-action
+    CVE参考:
+    - CVE-2022-22965: 缺失CSP可加剧Spring4Shell等RCE漏洞的XSS利用
+    - CVE-2021-23358: 缺失CSP导致通过模板注入的XSS可利用性提升
+    修复方案:
+    1. 设置严格的CSP:
+       w.Header().Set("Content-Security-Policy",
+         "default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self'")
+    2. 使用 Gin 中间件全局设置安全头
+    3. 使用 securego/gosec 或 secure 库自动添加安全头
+    4. 使用 CSP 报告模式 (report-uri/report-to) 调试策略
+    5. 参考 OWASP CSP Cheat Sheet 配置
+  languages:
+    - go
+  pattern-either:
+    - pattern: |
+        func $HANDLER(w http.ResponseWriter, r *http.Request) {
+          ...
+          w.Write($DATA)
+        }
+    - pattern: |
+        func $HANDLER(c *gin.Context) {
+          ...
+          c.String($CODE, $DATA)
+        }
+    - pattern: |
+        func $HANDLER(c *gin.Context) {
+          ...
+          c.JSON($CODE, $DATA)
+        }
+    - pattern: |
+        func $HANDLER(c *gin.Context) {
+          ...
+          c.HTML($CODE, $NAME, $DATA)
+        }
+  metadata:
+    cwe: "CWE-693: Protection Mechanism Failure"
+    severity: WARNING
+    precision: low
+    category: security-headers
+    likelihood: HIGH
+    impact: MEDIUM
+    owasp: "A05:2021 - Security Misconfiguration"
+    references:
+      - "https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP"
+      - "https://cheatsheetseries.owasp.org/cheatsheets/Content_Security_Policy_Cheat_Sheet.html"
+# ZM-GO-HDR-002: HTTP 响应缺失安全头
+- id: zm-go-sec-header-002
+  severity: WARNING
+  message: |
+    检测到 HTTP handler 中未设置关键安全响应头。
+    缺少的安全头使应用暴露于多种客户端攻击。
+    应设置的安全头及防御范围:
+    - Strict-Transport-Security (HSTS): 强制HTTPS，防降级攻击和Cookie劫持
+    - X-Frame-Options: 防 Clickjacking（点击劫持）
+    - X-Content-Type-Options: 防 MIME 类型嗅探攻击
+    - Referrer-Policy: 控制 Referer 信息泄露
+    - Permissions-Policy: 限制浏览器API访问（摄像头/麦克风/定位等）
+    CVE参考:
+    - CVE-2022-42889: 缺失安全头可配合 Text4Shell 漏洞进行JS注入
+    - CVE-2021-22926: HSTS缺失导致TLS剥离攻击
+    修复方案:
+    1. 设置 HSTS:
+       w.Header().Set("Strict-Transport-Security", "max-age=31536000; includeSubDomains; preload")
+    2. 设置防嗅探:
+       w.Header().Set("X-Content-Type-Options", "nosniff")
+    3. 设置防点击劫持:
+       w.Header().Set("X-Frame-Options", "DENY")
+    4. 设置 Referrer-Policy:
+       w.Header().Set("Referrer-Policy", "strict-origin-when-cross-origin")
+    5. 使用 Gin 中间件或 net/http middleware 链统一设置
+    6. 创建 SecurityHeadersMiddleware 函数复用
+  languages:
+    - go
+  pattern-either:
+    - pattern: |
+        func $HANDLER(w http.ResponseWriter, r *http.Request) {
+          ...
+        }
+    - pattern: |
+        func $HANDLER(c *gin.Context) {
+          ...
+        }
+  metadata:
+    cwe: "CWE-693: Protection Mechanism Failure"
+    severity: WARNING
+    precision: low
+    category: security-headers
+    likelihood: HIGH
+    impact: MEDIUM
+    cve: "CVE-2022-42889"
+    owasp: "A05:2021 - Security Misconfiguration"
+    references:
+      - "https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers"
+      - "https://owasp.org/www-project-secure-headers/"