Go 宣布新的漏洞管理支持方案

作者 | 罗燕珊

近日，Go 安全团队宣布将迎来新的漏洞管理支持方案，这将成为 Go 团队帮助开发者了解已知漏洞、明确相关影响的第一步。

据介绍，Go 将提供新的工具选项，用于分析代码库并发现其中的已知漏洞。该工具基于 Go 安全团队策划的 Go 漏洞数据库，能够仅显示代码实际调用的函数中存在哪些漏洞，借此降低提示理解难度。

其中，Go 漏洞数据库是一个综合信息源，囊括了公共 Go 模块中各导入包内的已知漏洞。漏洞数据采集自现有来源（例如 CVE 和 GHSA），以及 Go 包维护者的直接上报。Go 安全团队会以此为基础审查相关信息，并将可靠结果添加至数据库中。

新发布的 govulncheck 命令能够帮助 Go 开发者了解可能影响其项目的已知漏洞。Govulncheck 会分析代码库，并根据代码所调用的函数来判断是否存在漏洞。要开始使用 govulncheck，开发者可以在项目当中运行以下命令：

$ go install golang.org/x/vuln/cmd/govulncheck@latest$ govulncheck ./...

从长远来看，团队计划将 govulncheck 工具集集成至各主要 Go 发行版中。

在开发和部署过程中，能尽早了解漏洞信息固然是件好事。为此，团队将漏洞检测集成到现有 Go 工具和服务中，例如 Go 包发现网站。页面中会显示 golang.org/x/text 各个版本中的已知漏洞。后续还将通过 VS Code Go 扩展推出漏洞检查功能。

最后，Go 安全团队还提示，Go 的漏洞管理支持是一项正在积极开发的新功能，因此还有不少 bug 和限制。希望大家能积极发送问题反馈一同改善。

参考链接：

https://go.dev/blog/vuln

点击底部阅读原文访问 InfoQ 官网，获取更多精彩内容！

今日好文推荐

历时三年替换掉二十年老系统，这个团队选择“一次性到位”  | 卓越技术团队访谈录

对峙数年后，微软对 Java 的态度 180°大反转

奇葩事儿：删除用户云数据还无法恢复，只赔 3 万；微信键盘来了，体积 524MB；谷歌希望将效率提高 20%：暗示将裁员？| Q 资讯

“不搞职级、人人平等” 25 年后行不通了？Netflix 破天荒引入细分职级：气走老员工