猫头虎博主来报道!今天,我们要聊聊Go在漏洞管理方面的新动向。Go团队最近推出了对漏洞管理的新支持,这是帮助Go开发者了解可能影响他们的已知漏洞的第一步。让我们深入了解这个项目的现状和未来规划。如果你是Go语言爱好者,那这篇文章绝对不容错过!
2022年9月6日,Julie Qiu代表Go安全团队宣布了Go语言在漏洞管理方面的新支持。这标志着Go团队在帮助开发者识别和应对已知漏洞方面迈出了重要的一步。本文将提供对这一新功能的全面概述。
Go提供了工具来分析你的代码库,并表面化已知的漏洞。这些工具由Go漏洞数据库支持,该数据库由Go安全团队策划。Go的工具通过仅显示你的代码实际调用的函数中的漏洞,从而减少结果中的噪音。
Go漏洞数据库(https://vuln.go.dev)是一个关于公共Go模块中可导入包的已知漏洞的全面信息源。漏洞数据来自现有来源(如CVE和GHSAs)和Go包维护者的直接报告。这些信息经Go安全团队审核后添加到数据库中。
新的govulncheck命令是Go用户了解可能影响他们项目的已知漏洞的一种低噪音、可靠的方式。Govulncheck分析你的代码库,并仅根据你的代码中实际调用的受影响函数,表面化真正影响你的漏洞。
安装最新版本的govulncheck:
$ go install golang.org/x/vuln/cmd/govulncheck@latest
然后,在项目目录中运行govulncheck:
$ govulncheck ./...
将漏洞检测集成到你自己的工具和流程中,使用govulncheck -json。
已将漏洞检测集成到现有Go工具和服务中,例如Go包发现站点。例如,此页面显示golang.org/x/text的每个版本中的已知漏洞。通过VS Code Go扩展的漏洞检测功能也即将推出。
Go对漏洞管理的支持是一个处于活跃开发中的新功能。你应该预期一些bug和限制。
我们希望你能以以下方式贡献和帮助我们进行改进:
填写这个调查来分享你使用govulncheck的经验
我们期待与你一起构建一个更好、更安全的Go生态系统。
猫头虎的Go生态洞察专栏又增加了一篇新文章!本文深入探讨了Go在漏洞管理方面的新支持,包括Go漏洞数据库和govulncheck工具的使用。这些新工具将极大地帮助Go开发者识别和应对安全漏洞。详情点击这里。