• Go新漏洞管理工具: govulncheck

    我们很高兴地宣布 Go 对漏洞管理的最新支持,这是我们为帮助 Go 开发者了解可能影响他们的已知漏洞而迈出的第一步。

    这篇文章概述了这个项目的当前状况和后续计划。

    概览

    Go 提供的工具可以分析你的代码库并展示出已知的漏洞,该工具由 Go 安全团队设计维护的 Go 漏洞数据库提供支持。Go 只展示代码调用函数中的漏洞,从而减少结果中的噪音。

    82d06a9ded6aecf509735f95a2636889.png

    Go 漏洞数据库

    Go 漏洞数据库(https://vuln.go.dev/)是一个囊括了公共 Go 模块中可导入包的已知漏洞的全面信息源。

    漏洞数据来自现有来源(如 CVEs 和 GHSAs)以及 Go 软件包维护者的直接报告。这些信息将由 Go 安全团队审查并添加至数据库中。

    我们鼓励软件包维护者贡献他们自己项目中的公共漏洞信息,并更新现有漏洞信息。我们旨在让报告漏洞成为一个低阻力的过程,所以请把你的建议发送给我们,以便于我们进行改进。

    我们可以在浏览器中查看 Go 漏洞数据库,网址为 pkg.go.dev/vuln。关于数据库的更多信息详见 go.dev/security/vuln/database。

    使用 govulncheck 进行漏洞检测

    新的 govulncheck 命令是一种低噪音、稳定的方式,让 Go 用户了解可能影响其项目的已知漏洞。Govulncheck 会基于代码中涉及调用易受攻击函数的函数分析你的代码库,展示对你有实际影响的漏洞。你可以在项目中运行以下程序来使用 govulncheck。

    1. go install golang.org/x/vuln/cmd/govulncheck@latest
    2. $ govulncheck ./...

    Govulncheck 是一个独立的工具,以便在我们收集用户的反馈时可以频繁更新和快速迭代。从长远来看,我们计划将 govulncheck 工具整合到 Go 的主要发行版中。

    为了将漏洞检查直接集成到其他工具和流程中,vulncheck 包将 govulncheck 的功能作为 Go API 导出。

    集成

    在开发和部署过程中尽可能早地了解漏洞总是更好的。为此,我们将漏洞检测整合到现有的 Go 工具和服务中,如Go 软件包发现页。例如,这个页面显示了 golang.org/x/text 每个版本中的已知漏洞。通过 VS Code Go 扩展进行漏洞检查的功能也即将推出。

    后续计划

    我们希望你能发现 Go 对漏洞管理的支持是有用的,并帮助我们改进它!

    Go 漏洞管理是一项正在积极开发中的新功能,可能会有一些错误和局限之处。

    我们希望您能在以下方面做出贡献,帮助我们进行改进。

    • 贡献新的和更新现有的涉及你所维护的 Go 软件包的公共漏洞信息

    • 参加此调‍查,分享您使用 govulncheck 的体验

    • 向我们反馈问题和新功能需求

    我们很高兴能与你合作,建立一个更好、更安全的 Go 生态系统。

    ----

    相关链接:

    Go 漏洞数据库https://vuln.go.dev/

    贡献:https://go.dev/s/vulndb-report-new

    更新:https://go.dev/s/vulndb-report-feedback

    建议:https://golang.org/s/vuln-feedback

    govulncheck 命令:

    https://pkg.go.dev/golang.org/x/vuln/cmd/govulncheck

    vulncheck 包:

    https://pkg.go.dev/golang.org/x/vuln/vulncheck

    Go 软件包发现页:https://pkg.go.dev/

    页面:

    https://pkg.go.dev/golang.org/x/text?tab=versions

    局限之处:

    https://pkg.go.dev/golang.org/x/vuln/cmd/govulncheck#hdr-Limitations

    贡献新的:https://golang.org/s/vulndb-report-new

    更新现有的:

    https://go.dev/s/vulndb-report-feedback

    参加此调查:

    https://golang.org/s/govulncheck-feedback

    反馈:

    https://golang.org/s/vuln-feedback

    ----

    原文地址:

    https://go.dev/blog/vuln

    原文作者:

    Julie Qiu, for the Go security team

    本文永久链接:

    https://github.com/gocn/translator/blob/master/2022/w37_Vulnerability_Management_for_Go.md

    译者:张宇

    校对:Fivezh

    2022 GopherChina大会报名火热进行中!

    扫描下方二维码即可报名参与

    446f4d5b0b6be1d5d41e2a0b7606235b.png

    大会合作、现场招聘及企业购票等事宜请联系微信:18516100522

    1f403296429e0a5853222f7cca79b63c.png

    戳这里 GO!

  • 相关阅读:
    Java版工程行业管理系统源码-专业的工程管理软件-提供一站式服务
    基于双参数蜜蜂算法解决车辆路径问题(Matlab代码实现)
    Leetcode T34: 在排序数组中查找元素的第一个和最后一个位置
    [附源码]计算机毕业设计JAVA购买车票系统
    SpringIOC容器Bean对象的实例化模拟
    闲置手机电脑流量变现项目
    SpringBoot导出Word文档的三种方式
    【个人记录 | 研二预答辩】
    【UE5】物体沿样条线移动
    伦敦金走势技术指标的背离
  • 原文地址:https://blog.csdn.net/RA681t58CJxsgCkJ31/article/details/126801269