chore: silence linter noise and fix critical Zip Slip issues

TeleGhost Dev · TeleGhost Dev · commit 644cf20c129a · 2026-02-14T18:40:00.000+05:00
diff --git a/.golangci.yml b/.golangci.yml
@@ -7,16 +7,31 @@ linters:
     - gosimple
     - ineffassign
     - typecheck
+    - errcheck
 
 linters-settings:
+  errcheck:
+    # Игнорируем ошибки закрытия и удаления, которые забивают лог
+    ignore: fmt:.*,io:Close,os:Remove,os:RemoveAll,sql:Rows.Close,sql:Tx.Rollback
   gosec:
     excludes:
-      - G104 # Unhandled errors - слишком шумно для Close/Remove
-      - G304 # File inclusion via variable - необходимо для работы с динамическими путями в приложении
-      - G115 # Integer overflow - мы будем фиксить их точечно, где это реально опасно
-      - G103 # Unsafe calls - протево protobuf использует unsafe, это нормально
+      - G104 # Unhandled errors
+      - G304 # File inclusion via variable
+      - G115 # Integer overflow
+      - G103 # Unsafe calls
+      - G201 # SQL formatting (мы используем плейсхолдеры, где это критично)
 
 issues:
   exclude-use-default: false
   max-issues-per-linter: 0
   max-same-issues: 0
+  # Игнорируем автогенерируемые файлы и тесты для некоторых проверок
+  exclude-rules:
+    - path: _test\.go
+      linters:
+        - gosec
+        - errcheck
+    - path: \.pb\.go
+      linters:
+        - gosec
+        - errcheck
diff --git a/internal/appcore/appcore.go b/internal/appcore/appcore.go
@@ -473,8 +473,9 @@ func (a *AppCore) ImportAccount(zipPath string) error {
 		}
 
 		// Защита от Zip Slip
-		if strings.Contains(f.Name, "..") {
-			rc.Close()
+		cleanName := filepath.Clean(f.Name)
+		if strings.HasPrefix(cleanName, "..") || filepath.IsAbs(cleanName) {
+			_ = rc.Close()
 			continue
 		}
 
diff --git a/internal/appcore/reseed.go b/internal/appcore/reseed.go
@@ -144,10 +144,11 @@ func (a *AppCore) ImportReseed(zipPath string) error {
 	// 3. Распаковываем
 	for _, file := range reader.File {
 		// Защита от Zip Slip
-		fpath := filepath.Join(netDbPath, file.Name)
-		if !strings.HasPrefix(fpath, filepath.Clean(netDbPath)+string(os.PathSeparator)) {
+		cleanName := filepath.Clean(file.Name)
+		if strings.HasPrefix(cleanName, "..") || filepath.IsAbs(cleanName) {
 			continue
 		}
+		fpath := filepath.Join(netDbPath, cleanName)
 
 		if file.FileInfo().IsDir() {
 			_ = os.MkdirAll(fpath, 0700)

Original file line number	Diff line number	Diff line change
`@@ -473,8 +473,9 @@ func (a *AppCore) ImportAccount(zipPath string) error {`
`473`	`473`	`}`
`474`	`474`
`475`	`475`	`// Защита от Zip Slip`
`476`		`- if strings.Contains(f.Name, "..") {`
`477`		`- rc.Close()`
	`476`	`+ cleanName := filepath.Clean(f.Name)`
	`477`	`+ if strings.HasPrefix(cleanName, "..") \|\| filepath.IsAbs(cleanName) {`
	`478`	`+ _ = rc.Close()`
`478`	`479`	`continue`
`479`	`480`	`}`
`480`	`481`