Go 部落格
Govulncheck v1.0.0 發布!
我們非常興奮地宣布 govulncheck v1.0.0 已發布,以及用於將掃描功能整合至其他工具的 API v1.0.0!
Go 對漏洞管理的支援於去年 9 月 首次宣布。自此之後,我們已進行數次變更,最後才有了今天的發布。
這篇貼文說明了 Go 更新的漏洞工具,以及如何開始使用它。最近,我們也發布了一個 安全最佳實務指南,協助您優先處理 Go 專案中的安全性。
Govulncheck
Govulncheck 是一個指令列工具,可協助 Go 使用者在專案依賴項中找出已知的漏洞。此工具可以分析程式碼庫和二進位檔,並且透過優先處理程式碼實際呼叫的函式中的漏洞來減少雜訊。
您可以使用 go install 安裝最新版本的 govulncheck
go install golang.org/x/vuln/cmd/govulncheck@latest
然後,在模組中執行 govulncheck
govulncheck ./...
請參閱 govulncheck 教學課程,以取得關於如何開始使用此工具的其他資訊。
這次版本中提供了一個穩定 API,其說明記載於 golang.org/x/vuln/scan 中。這個 API 提供了與 govulncheck 指令相同的功能,使開發者可以將 govulncheck 與安全性掃描程式及其他工具整合。例如,請參閱 osv-scanner 與 govulncheck 整合。
資料庫
Govulncheck 由 Go 漏洞資料庫 https://vuln.go.dev 提供技術支援,資料庫提供了公開 Go 模組中已知漏洞的相關資訊。您可以在 pkg.go.dev/vuln 瀏覽資料庫中的項目。
自首次發布以來,我們已更新 資料庫 API 以提升效能並確保長期擴充性。在 golang.org/x/vulndb/cmd/indexdb 中提供了一個可產生您自己的漏洞資料庫索引的實驗性工具。
如果您是 Go package 維護者,我們鼓勵您 提供相關資訊 以了解專案中的公開漏洞。
如要進一步了解 Go 漏洞資料庫,請參閱 go.dev/security/vuln/database。
整合
漏洞偵測功能已整合到一組工具中,這些工具目前已納入許多 Go 開發人員的工作流程。
您可以在 pkg.go.dev/vuln 瀏覽 Go 漏洞資料庫的資料。pkg.go.dev 的搜尋結果及 package 頁面中也會提供漏洞資訊。例如,golang.org/x/text/language 版本頁面 會顯示模組較舊版本中的漏洞。
您也可以使用 Visual Studio Code 的 Go 擴充功能在您的編輯器中直接執行 govulncheck。請參閱 教學課程 以開始使用。
最後,我們知道很多開發人員會希望在 CI/CD 系統中執行 govulncheck。作為一個起點,我們已提供了一個 Govulncheck GitHub Actions,以整合到您的專案中。
影片示範
如果您對上文所述整合有興趣,我們在今年的 Google I/O 上於演講中演示了這些工具,我們的演講標題為 使用 Go 和 Google 建立更安全的應用程式。
意見回饋
我們永遠歡迎您的意見回饋!請參閱 如何提供協助並幫助我們進行改善 的詳細資訊。
我們希望您會覺得 Go 的最新版本支援漏洞管理很有用,並與我們合作建立更安全可靠的 Go 生態圈。
下一篇:分享您對使用 Go 開發的意見回饋
上一篇:Go 1.21 發行候選版本
部落格索引