Go 宣布新的漏洞管理支持方案
作者 | 罗燕珊
近日,Go 安全团队宣布将迎来新的漏洞管理支持方案,这将成为 Go 团队帮助开发者了解已知漏洞、明确相关影响的第一步。
据介绍,Go 将提供新的工具选项,用于分析代码库并发现其中的已知漏洞。该工具基于 Go 安全团队策划的 Go 漏洞数据库,能够仅显示代码实际调用的函数中存在哪些漏洞,借此降低提示理解难度。
其中,Go 漏洞数据库是一个综合信息源,囊括了公共 Go 模块中各导入包内的已知漏洞。漏洞数据采集自现有来源(例如 CVE 和 GHSA),以及 Go 包维护者的直接上报。Go 安全团队会以此为基础审查相关信息,并将可靠结果添加至数据库中。
新发布的 govulncheck 命令能够帮助 Go 开发者了解可能影响其项目的已知漏洞。Govulncheck 会分析代码库,并根据代码所调用的函数来判断是否存在漏洞。要开始使用 govulncheck,开发者可以在项目当中运行以下命令:
$ go install golang.org/x/vuln/cmd/govulncheck@latest$ govulncheck ./...从长远来看,团队计划将 govulncheck 工具集集成至各主要 Go 发行版中。
在开发和部署过程中,能尽早了解漏洞信息固然是件好事。为此,团队将漏洞检测集成到现有 Go 工具和服务中,例如 Go 包发现网站。页面中会显示 golang.org/x/text 各个版本中的已知漏洞。后续还将通过 VS Code Go 扩展推出漏洞检查功能。
最后,Go 安全团队还提示,Go 的漏洞管理支持是一项正在积极开发的新功能,因此还有不少 bug 和限制。希望大家能积极发送问题反馈一同改善。
参考链接:
https://go.dev/blog/vuln
点击底部阅读原文访问 InfoQ 官网,获取更多精彩内容!
今日好文推荐
历时三年替换掉二十年老系统,这个团队选择“一次性到位” | 卓越技术团队访谈录
奇葩事儿:删除用户云数据还无法恢复,只赔 3 万;微信键盘来了,体积 524MB;谷歌希望将效率提高 20%:暗示将裁员?| Q 资讯
“不搞职级、人人平等” 25 年后行不通了?Netflix 破天荒引入细分职级:气走老员工
腾讯云开发者
