Go 宣布新的漏洞管理支持方案

2022 年 9 月 15 日 InfoQ

作者 | 罗燕珊

近日,Go 安全团队宣布将迎来新的漏洞管理支持方案,这将成为 Go 团队帮助开发者了解已知漏洞、明确相关影响的第一步。

据介绍,Go 将提供新的工具选项,用于分析代码库并发现其中的已知漏洞。该工具基于 Go 安全团队策划的 Go 漏洞数据库,能够仅显示代码实际调用的函数中存在哪些漏洞,借此降低提示理解难度。

其中,Go 漏洞数据库是一个综合信息源,囊括了公共 Go 模块中各导入包内的已知漏洞。漏洞数据采集自现有来源(例如 CVE 和 GHSA),以及 Go 包维护者的直接上报。Go 安全团队会以此为基础审查相关信息,并将可靠结果添加至数据库中。

新发布的 govulncheck 命令能够帮助 Go 开发者了解可能影响其项目的已知漏洞。Govulncheck 会分析代码库,并根据代码所调用的函数来判断是否存在漏洞。要开始使用 govulncheck,开发者可以在项目当中运行以下命令:

$ go install golang.org/x/vuln/cmd/govulncheck@latest$ govulncheck ./...

从长远来看,团队计划将 govulncheck 工具集集成至各主要 Go 发行版中。

在开发和部署过程中,能尽早了解漏洞信息固然是件好事。为此,团队将漏洞检测集成到现有 Go 工具和服务中,例如 Go 包发现网站。页面中会显示 golang.org/x/text 各个版本中的已知漏洞。后续还将通过 VS Code Go 扩展推出漏洞检查功能。

最后,Go 安全团队还提示,Go 的漏洞管理支持是一项正在积极开发的新功能,因此还有不少 bug 和限制。希望大家能积极发送问题反馈一同改善。

参考链接:

https://go.dev/blog/vuln

点击底部阅读原文访问 InfoQ 官网,获取更多精彩内容!

今日好文推荐

历时三年替换掉二十年老系统,这个团队选择“一次性到位”  | 卓越技术团队访谈录

对峙数年后,微软对 Java 的态度 180°大反转

奇葩事儿:删除用户云数据还无法恢复,只赔 3 万;微信键盘来了,体积 524MB;谷歌希望将效率提高 20%:暗示将裁员?| Q 资讯

“不搞职级、人人平等” 25 年后行不通了?Netflix 破天荒引入细分职级:气走老员工

登录查看更多
0

相关内容

代码(Code)是专知网的一个重要知识资料文档板块,旨在整理收录论文源代码、复现代码,经典工程代码等,便于用户查阅下载使用。
【2022新书】高效Go语言,数据驱动的性能优化,776页pdf
专知会员服务
56+阅读 · 2022年11月23日
【2022新书】Python DevOps,245页pdf
专知会员服务
89+阅读 · 2022年7月11日
【开放书】《命令行数据科学指南(第二版)》
专知会员服务
42+阅读 · 2021年12月13日
专知会员服务
59+阅读 · 2021年5月20日
【硬核书】Linux核心编程|Linux Kernel Programming,741页pdf
专知会员服务
78+阅读 · 2021年3月26日
【2020新书】Google软件工程方法论,617页pdf
专知会员服务
80+阅读 · 2020年11月11日
【2020新书】操作反模式: DevOps解决方案, 322页pdf
专知会员服务
31+阅读 · 2020年11月8日
Chrome 浏览器将停止支持 Windows 7/8/8.1
InfoQ
0+阅读 · 2022年10月29日
隐私沙盒: 开发者预览版 5 已经发布!
谷歌开发者
0+阅读 · 2022年10月17日
云安全管理中的 DevOps 职责
InfoQ
1+阅读 · 2022年5月27日
Spring 框架惊爆大漏洞?
CSDN
0+阅读 · 2022年3月31日
Linux 是最安全的操作系统?谷歌再发铁证
AI前线
0+阅读 · 2022年2月22日
国家自然科学基金
4+阅读 · 2017年12月31日
国家自然科学基金
1+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2011年12月31日
国家自然科学基金
0+阅读 · 2009年12月31日
Arxiv
0+阅读 · 2022年11月29日
Arxiv
0+阅读 · 2022年11月25日
已删除
Arxiv
32+阅读 · 2020年3月23日
VIP会员
相关VIP内容
【2022新书】高效Go语言,数据驱动的性能优化,776页pdf
专知会员服务
56+阅读 · 2022年11月23日
【2022新书】Python DevOps,245页pdf
专知会员服务
89+阅读 · 2022年7月11日
【开放书】《命令行数据科学指南(第二版)》
专知会员服务
42+阅读 · 2021年12月13日
专知会员服务
59+阅读 · 2021年5月20日
【硬核书】Linux核心编程|Linux Kernel Programming,741页pdf
专知会员服务
78+阅读 · 2021年3月26日
【2020新书】Google软件工程方法论,617页pdf
专知会员服务
80+阅读 · 2020年11月11日
【2020新书】操作反模式: DevOps解决方案, 322页pdf
专知会员服务
31+阅读 · 2020年11月8日
相关资讯
Chrome 浏览器将停止支持 Windows 7/8/8.1
InfoQ
0+阅读 · 2022年10月29日
隐私沙盒: 开发者预览版 5 已经发布!
谷歌开发者
0+阅读 · 2022年10月17日
云安全管理中的 DevOps 职责
InfoQ
1+阅读 · 2022年5月27日
Spring 框架惊爆大漏洞?
CSDN
0+阅读 · 2022年3月31日
Linux 是最安全的操作系统?谷歌再发铁证
AI前线
0+阅读 · 2022年2月22日
相关基金
国家自然科学基金
4+阅读 · 2017年12月31日
国家自然科学基金
1+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2011年12月31日
国家自然科学基金
0+阅读 · 2009年12月31日
Top
微信扫码咨询专知VIP会员