Go 宣布新的漏洞管理支持方案
作者 | 罗燕珊
近日,Go 安全团队宣布将迎来新的漏洞管理支持方案,这将成为 Go 团队帮助开发者了解已知漏洞、明确相关影响的第一步。
据介绍,Go 将提供新的工具选项,用于分析代码库并发现其中的已知漏洞。该工具基于 Go 安全团队策划的 Go 漏洞数据库,能够仅显示代码实际调用的函数中存在哪些漏洞,借此降低提示理解难度。
其中,Go 漏洞数据库是一个综合信息源,囊括了公共 Go 模块中各导入包内的已知漏洞。漏洞数据采集自现有来源(例如 CVE 和 GHSA),以及 Go 包维护者的直接上报。Go 安全团队会以此为基础审查相关信息,并将可靠结果添加至数据库中。
新发布的 govulncheck 命令能够帮助 Go 开发者了解可能影响其项目的已知漏洞。Govulncheck 会分析代码库,并根据代码所调用的函数来判断是否存在漏洞。要开始使用 govulncheck,开发者可以在项目当中运行以下命令:
$ go install golang.org/x/vuln/cmd/govulncheck@latest$ govulncheck ./...
从长远来看,团队计划将 govulncheck 工具集集成至各主要 Go 发行版中。
在开发和部署过程中,能尽早了解漏洞信息固然是件好事。为此,团队将漏洞检测集成到现有 Go 工具和服务中,例如 Go 包发现网站。页面中会显示 golang.org/x/text 各个版本中的已知漏洞。后续还将通过 VS Code Go 扩展推出漏洞检查功能。
最后,Go 安全团队还提示,Go 的漏洞管理支持是一项正在积极开发的新功能,因此还有不少 bug 和限制。希望大家能积极发送问题反馈一同改善。
参考链接:
https://go.dev/blog/vuln
点击底部阅读原文访问 InfoQ 官网,获取更多精彩内容!
今日好文推荐
历时三年替换掉二十年老系统,这个团队选择“一次性到位” | 卓越技术团队访谈录
奇葩事儿:删除用户云数据还无法恢复,只赔 3 万;微信键盘来了,体积 524MB;谷歌希望将效率提高 20%:暗示将裁员?| Q 资讯
相关文章
- Go语言Module常用命令 (二十五)
- go富集分析和kegg富集分析的区别_非模式生物怎么做GO富集
- 化整为零优化重用,Go lang1.18入门精炼教程,由白丁入鸿儒,go lang函数的定义和使用EP07
- Go进阶训练营 – 微服务概览与治理一:微服务概览
- 2022-08-19:以下go语言代码输出什么?A:equal;B:not equal;C:不确定。package mainim
- 2022-08-27:以下go语言代码输出什么?A:[0];B:panic;C:7;D:不清楚。package mainimpo
- go语言环境安装教程_go语言菜鸟教程
- Go 程序里 if else 分支太多?试着用策略模式治理一下吧
- 「Go工具箱」一个对语义化版本进行解析、比较的库:go-version
- 「Go工具箱」redis官网推荐的go版本的分布式锁:redsync
- go的数据类型-其他数据类型-pointer(四)
- Go-包管理-go get(一)
- Go-包管理-go mod(一)
- Go-包管理-go build(二)
- Go-包管理-go install
- Go语言bool类型(布尔类型)
- go 从入门到精通(二)基本数据类型和操作符详解编程语言
- Go从入门到精通(一)go语言初识详解编程语言
- Go语言圣经-竞争条件习题详解编程语言
- 环境Go 编译 在 Linux 环境中的体验(go编译linux)
- 语言结合SQL Server,Go谱写新篇章(sqlserver的go)
- 如何在Linux上安装Go语言?——简单易懂的指南(linux安装go语言)
- 用Go语言深入Redis缓存技术(用go写redis)
- 部署Go语言快速连接Oracle实现轻松部署(go连接oracle简单)
- Go语言查询Oracle数据库实战实例(go语言查询oracle)
- 数据库探索Go语言与Oracle数据库的结合(go语言中的oracle)
- 给Oracle数据库添加专业技能,Go大发展(go_db_oracle)