[译] Go 新漏洞管理工具:govulncheck
前言
我们很高兴地宣布 Go 对漏洞管理的最新支持,这是我们为帮助 Go 开发者了解可能影响他们的已知漏洞而迈出的第一步。
这篇文章概述了这个项目的当前状况和后续计划。
概览
Go 提供的工具可以分析你的代码库并展示出已知的漏洞,该工具由 Go 安全团队设计维护的 Go 漏洞数据库提供支持。Go 只展示代码调用函数中的漏洞,从而减少结果中的噪音。
Go 漏洞数据库
Go 漏洞数据库(https://vuln.go.dev/)是一个囊括了公共 Go 模块中可导入包的已知漏洞的全面信息源。
漏洞数据来自现有来源(如 CVEs 和 GHSAs)以及 Go 软件包维护者的直接报告。这些信息将由 Go 安全团队审查并添加至数据库中。
我们鼓励软件包维护者贡献他们自己项目中的公共漏洞信息,并更新现有漏洞信息。我们旨在让报告漏洞成为一个低阻力的过程,所以请把你的建议发送给我们,以便于我们进行改进。
我们可以在浏览器中查看 Go 漏洞数据库,网址为 pkg.go.dev/vuln。关于数据库的更多信息详见 go.dev/security/vuln/database。
使用 govulncheck 进行漏洞检测
新的 govulncheck 命令是一种低噪音、稳定的方式,让 Go 用户了解可能影响其项目的已知漏洞。Govulncheck 会基于代码中涉及调用易受攻击函数的函数分析你的代码库,展示对你有实际影响的漏洞。你可以在项目中运行以下程序来使用 govulncheck。
$ go install golang.org/x/vuln/cmd/[email protected]
$ govulncheck ./...
Govulncheck 是一个独立的工具,以便在我们收集用户的反馈时可以频繁更新和快速迭代。从长远来看,我们计划将 govulncheck 工具整合到 Go 的主要发行版中。
为了将漏洞检查直接集成到其他工具和流程中,vulncheck 包将 govulncheck 的功能作为 Go API 导出。
集成
在开发和部署过程中尽可能早地了解漏洞总是更好的。为此,我们将漏洞检测整合到现有的 Go 工具和服务中,如Go 软件包发现页。例如,这个页面显示了 golang.org/x/text 每个版本中的已知漏洞。通过 VS Code Go 扩展进行漏洞检查的功能也即将推出。
后续计划
我们希望你能发现 Go 对漏洞管理的支持是有用的,并帮助我们改进它!
Go 漏洞管理是一项正在积极开发中的新功能,可能会有一些错误和局限之处。
我们希望您能在以下方面做出贡献,帮助我们进行改进。
我们很高兴能与你合作,建立一个更好、更安全的 Go 生态系统。
参考资料
- 原文地址:https://go.dev/blog/vuln
- 原文作者:Julie Qiu, for the Go security team
- 本文永久链接:https://github.com/gocn/translator/blob/master/2022/w37_Vulnerability_Management_for_Go.md
- 译者:张宇
- 校对:Fivezh
相关文章
- 安得倚天抽宝剑——Go中new到底在堆还是栈中分配
- 【愚公系列】2022年08月 Go教学课程 032-结构体方法继承
- 你有对象类,我有结构体,Go lang1.18入门精炼教程,由白丁入鸿儒,go lang结构体(struct)的使用EP06
- Go 语言学习技巧和编程思维
- 云青青兮欲雨——Go的数组与切片傻傻分不清楚?
- Go做Web开发必懂的概念和底层原理
- 2022-09-20:以下go语言代码输出什么?A:8 8;B:8 16;C:16 16;D:16 8。package main
- GoLang17 - Go 语言递归函数&类型转换
- 「Go工具箱」一个简单、易用的多错误管理包:go-multierror
- GO语言开篇-Go语言急速入门(基础知识点)| 青训营笔记
- GO web 开发 实战二,数据库相关
- Go语言go mod包依赖管理工具使用详解
- Go-连接Redis-学习go-redis包详解编程语言
- Go语言网络爬虫的接口设计
- 搭建Linux上使用Go语言的环境搭建(linuxgo语言环境)
- 环境Go 编译 在 Linux 环境中的体验(go编译linux)
- Go语言连接Oracle数据库实战(go连接oracle)
- 用Go语言做极简风格网址导航
- 语言结合SQL Server,Go谱写新篇章(sqlserver的go)
- 便捷使用Go编程连接Redis(go连接redis)
- 使用Go语言实现Redis数据库(用go实现redis)
- Go语言搭建Oracle数据库快速连接方法(go语言连接oracle)
- Go语言快速安装Oracle数据库(go语言安装oracle)
- ODBC数据驱动程序连接Oracle数据库Go语言之旅(go使用oracle)
- 程序Go语言调用Oracle数据库驱动程序指南(go oracle驱动)
- 语言Oracle中发挥神奇作用的Go语言(oracle中有go)
- Go项目的目录结构详解
- Go语言实现机器大小端判断代码分享