Go官方推出漏洞資料庫以及工具支援Go應用程式的漏洞管理,使得開發人員可以更容易了解,可能影響應用程式的已知漏洞。Go提供工具讓用戶分析程式碼庫,發現已知的漏洞,該工具背後由漏洞資料庫提供支援,官方提到,該工具僅會顯示呈現真正被呼叫函式中存在的漏洞,不會提供無用充滿雜訊的訊息。

Go在漏洞資料庫公開Go模組可匯入套件中,所包含的已知漏洞訊息,這些漏洞資料來自CVE、GHSA現有漏洞資料庫,另外,漏洞資料庫也會包含來自Go套件維護者回報的漏洞,Go安全團隊會負責審查這些資訊,並將其添加到資料庫中。

官方表示,他們鼓勵套件維護者在自己的專案中,提供有關公開漏洞的資訊,並根據已知的漏洞資訊更新自己的Go套件。官方會持續降低回報過程的摩擦,用戶也可以直接使用瀏覽器查看漏洞資料庫的內容。

開發者可以使用Govulncheck指令來分析程式碼庫,可靠地獲得可能對專案造成影響的已知漏洞,Govulncheck只會顯示程式碼庫中,實際被呼叫且存在易受攻擊漏洞的函式,官方解釋,目前Govulncheck是以獨立工具的形式發布,讓他們可以在收集到用戶回饋的時候,更頻繁地進行更新和迭代,但是在長遠的計畫中,Govulncheck將會整合到Go的發布版本中。

vulncheck套件將Govulncheck的功能匯出成為Go API,因此開發者可以將漏洞檢測,整合到其他工具和流程中。官方也提到,開發和部署過程越早發現漏洞越好,因此官方也將漏洞檢測整合到現有的Go工具和服務中,像是Go套件探索網站,該頁面除了會顯示套件資訊,也會列出每個版本的已知漏洞,此外,官方也即將在VS Code Go擴充套件推出漏洞檢測功能。

熱門新聞

Advertisement