Go 部落格

Govulncheck v1.0.0 釋出!

Julie Qiu,為 Go 安全團隊撰寫
2023 年 7 月 13 日

我們很高興地宣佈,govulncheck v1.0.0 和用於將掃描整合到其他工具中的 API v1.0.0 已釋出!

Go 對漏洞管理的支援已於去年九月首次宣佈。此後我們進行了多項更改,最終促成了今天的釋出。

本文介紹了 Go 更新的漏洞工具以及如何開始使用它。我們還於近期釋出了安全最佳實踐指南,以幫助您優先處理 Go 專案中的安全問題。

Govulncheck

Govulncheck 是一個命令列工具,可幫助 Go 使用者查詢其專案依賴項中已知的漏洞。該工具可以分析程式碼庫和二進位制檔案,並透過優先處理程式碼實際呼叫的函式中的漏洞來減少噪音。

您可以使用 go install 安裝最新版本的 govulncheck

go install golang.org/x/vuln/cmd/govulncheck@latest

然後在您的模組內執行 govulncheck

govulncheck ./...

有關如何開始使用該工具的更多資訊,請參閱 govulncheck 教程

從本次釋出開始,現在有一個穩定的 API 可用,可在 golang.org/x/vuln/scan 找到。此 API 提供與 govulncheck 命令相同的功能,使開發人員能夠將安全掃描程式和其他工具與 govulncheck 整合。例如,請參閱 osv-scanner 與 govulncheck 的整合

資料庫

Govulncheck 由 Go 漏洞資料庫 https://vuln.go.dev 提供支援,該資料庫提供了關於公共 Go 模組中已知漏洞的全面資訊來源。您可以在 pkg.go.dev/vuln 瀏覽資料庫中的條目。

自首次釋出以來,我們已更新資料庫 API 以提高效能並確保長期可擴充套件性。提供了一個實驗性工具來生成您自己的漏洞資料庫索引,網址為 golang.org/x/vulndb/cmd/indexdb

如果您是 Go 包維護者,我們鼓勵您貢獻有關您專案中公開漏洞的資訊

有關 Go 漏洞資料庫的更多資訊,請參閱 go.dev/security/vuln/database

整合

漏洞檢測現已整合到一系列工具中,這些工具已是許多 Go 開發人員工作流程的一部分。

Go 漏洞資料庫的資料可在 pkg.go.dev/vuln 瀏覽。漏洞資訊也會顯示在 pkg.go.dev 的搜尋和程式包頁面上。例如,golang.org/x/text/language 的版本頁面顯示了模組舊版本中的漏洞。

您還可以使用 Visual Studio Code 的 Go 擴充套件程式直接在編輯器中執行 govulncheck。請參閱教程開始。

最後,我們知道許多開發人員希望在 CI/CD 系統中執行 govulncheck。作為起點,我們為 govulncheck 提供了GitHub Action 以便整合到您的專案中。

影片演示

如果您對上面介紹的整合有一個演示感興趣,我們今年在 Google I/O 的演講 使用 Go 和 Google 構建更安全的應用程式 中進行了這些工具的演示。

反饋

一如既往,我們歡迎您的反饋!有關如何貢獻和幫助我們改進的詳細資訊。

我們希望您覺得 Go 漏洞管理支援的最新版本很有用,並與我們一起構建一個更安全、更可靠的 Go 生態系統。

下一篇文章:分享您在 Go 開發方面的反饋
上一篇文章:Go 1.21 Release Candidate
部落格索引