Go 部落格
Govulncheck v1.0.0 釋出了!
我們很高興地宣佈 Govulncheck v1.0.0 已釋出,同時釋出的還有用於將掃描整合到其他工具中的 API 的 v1.0.0 版本!
Go 對漏洞管理的支援是去年九月首次宣佈的。從那時起,我們進行了一些更改,最終促成了今天的釋出。
本文介紹了 Go 更新後的漏洞工具以及如何開始使用它。我們最近還發布了一份安全最佳實踐指南,幫助您在 Go 專案中優先考慮安全性。
Govulncheck
Govulncheck 是一個命令列工具,幫助 Go 使用者查詢專案依賴項中的已知漏洞。該工具可以分析程式碼庫和二進位制檔案,並透過優先處理程式碼實際呼叫的函式中的漏洞來減少干擾。
您可以使用 go install 安裝最新版本的 govulncheck
go install golang.org/x/vuln/cmd/govulncheck@latest
然後,在您的模組內執行 govulncheck
govulncheck ./...
有關如何開始使用該工具的更多資訊,請參閱 govulncheck 教程。
從本次釋出起,現在提供了穩定的 API,其描述位於 golang.org/x/vuln/scan。此 API 提供的功能與 govulncheck 命令相同,使開發者能夠將安全掃描器和其他工具與 govulncheck 整合。例如,請參閱 osv-scanner 與 govulncheck 的整合。
資料庫
Govulncheck 由 Go 漏洞資料庫提供支援,網址為 https://vuln.go.dev,該資料庫提供關於公共 Go 模組中已知漏洞的全面資訊源。您可以在 pkg.go.dev/vuln 瀏覽資料庫中的條目。
自首次釋出以來,我們已更新了資料庫 API,以提高效能並確保長期可擴充套件性。在 golang.org/x/vulndb/cmd/indexdb 提供了一個用於生成您自己的漏洞資料庫索引的實驗性工具。
如果您是 Go 包維護者,我們鼓勵您貢獻資訊,提供您專案中公共漏洞的詳情。
有關 Go 漏洞資料庫的更多資訊,請參閱 go.dev/security/vuln/database。
整合
漏洞檢測現已整合到許多 Go 開發者工作流程中已有的工具套件中。
您可以在 pkg.go.dev/vuln 瀏覽 Go 漏洞資料庫中的資料。漏洞資訊也會顯示在 pkg.go.dev 的搜尋頁面和包頁面上。例如,golang.org/x/text/language 的版本頁面顯示了該模組舊版本中的漏洞。
您還可以使用適用於 Visual Studio Code 的 Go 擴充套件,直接在編輯器中執行 govulncheck。請參閱教程以開始使用。
最後,我們知道許多開發者希望將 govulncheck 作為其 CI/CD 系統的一部分執行。作為起點,我們提供了一個用於 govulncheck 的 GitHub Action,以便與您的專案整合。
影片演示
如果您對上述整合的演示感興趣,我們在今年的 Google I/O 大會上發表了題為使用 Go 和 Google 構建更安全的應用程式的演講,對這些工具進行了演練。
反饋
一如既往,我們歡迎您的反饋!請參閱關於如何貢獻以及幫助我們改進的詳細資訊。
我們希望您會覺得 Go 最新發布的漏洞管理支援很有用,並與我們一起構建一個更安全、更可靠的 Go 生態系統。
下一篇文章:分享您關於使用 Go 開發的反饋
上一篇文章:Go 1.21 釋出候選版本
部落格索引