关于go:Go的全新漏洞检测工具govulncheck来了

3次阅读

共计 2216 个字符，预计需要花费 6 分钟才能阅读完成。

Go 平安团队在 2022.09.06 公布了全新的破绽检测工具govulncheck，能够帮忙咱们发现 Go 程序里的安全漏洞。

本文具体介绍该工具目前的现状以及接下来的性能布局。

上图是 Go 平安团队对于 Go 代码破绽检测的零碎架构图。

第 1 步，破绽采集。Go 平安团队会采集泛滥破绽数据库，包含公开的破绽数据库 (例如 National Vulnerability Database (NVD) 和 GitHub Advisory Database)、社区反馈的 Go package 破绽)以及 Go 团队修复过的安全漏洞等。
第 2 步：更新 Go 的破绽数据库。对于第 1 步里收集到的安全漏洞，Go 平安团队会出具评估报告，对报告的破绽做评审，如果确认是须要解决的会进入到 Go 的破绽数据库里。这些破绽存储的依照 Open Source Vulnerability (OSV) format 格局进行存储，并且能够通过 API 获取到。
第 3 步：工具集成。对于新的破绽解决后，会相应更新 pkg.go.dev 上的破绽阐明以及公布破绽检测工具 govulncheck 的新版本。govulncheck能够剖析扫描你的代码仓库，只展现那些真正影响到你程序执行的破绽。govulncheck工具十分牢靠，很少误报，能够帮忙你疾速发现一些已知的安全漏洞。

Go 平安团队保护了一个破绽数据库，地址是 https://vuln.go.dev，也就是下面第 2 步所说的破绽数据库。

Go 的破绽数据库里蕴含的破绽，能够在这个链接地址 pkg.go.dev/vuln 进行查看。

全新的 govulncheck 命令能够帮忙你发现代码里的安全漏洞。

装置和应用办法如下：

$ go install golang.org/x/vuln/cmd/govulncheck@latest
$ govulncheck ./...

govulncheck是一个独立的工具，可能会频繁更新和迭代。Go 平安团队对于 govulncheck 的长期打算是把该工具集成到 Go 的公布版本里。

备注:

golang.org/x下所有 package 的源码独立于 Go 源码的骨干分支，也不在 Go 的二进制安装包里。如果须要应用 golang.org/x 下的 package，能够应用 go get 来装置。govulncheck工具就属于这种状况。
golang.org/x/exp下的所有 package 都属于试验性质或者被废除的 package，不倡议应用。

golang.org/x/vuln 这个仓库里蕴含有 3 个次要模块：

vulncheck 包。为了不便把 govulncheck 的破绽检测性能集成给其它工具或服务，vulncheck 里把 govulncheck 的性能进行了封装，在 vulncheck 这个 package 里提供了相应的 Go 函数，能够被间接调用。
govulncheck命令。是命令行工具，对 vulncheck 包里破绽检测性能做了封装。
client 包。该 package 封装了一个用于和 Go 破绽数据库交互的 client。

为了不便 Go 开发者更早和更好地理解到破绽信息，Go 团队把破绽检测也集成到了 Go 的工具链和服务里。

例如，大家能够在 package.go.dev 网站的版本破绽页面查看到 golang.org/text 这个 package 各个版本的安全漏洞状况。

Go 的 VS Code 扩大插件对于 govulncheck 的反对也很快就能够公布。

更多对于 govulncheck 的限度，能够参考 govulncheck limitations。

文章和示例代码开源在 GitHub: Go 语言高级、中级和高级教程。

公众号：coding 进阶。关注公众号能够获取最新 Go 面试题和技术栈。

集体网站：Jincheng’s Blog。

知乎：无忌。

正文完

发表至： go

2022-09-11

0

关于前端:分享一个简单的GIF图制作方法

前言