Go 安全团队宣布新命令 govulncheck,用于检测漏洞


Go 安全团队宣布了管理漏洞的新项目——用于帮助 Go 开发者了解可能会影响他们的已知漏洞。

该项目由三部分构成:

  • 漏洞数据源 (Data Sources)
  • Go 漏洞数据库 (Go Vulnerability Database)
  • 工具和集成 (Tools & Integrations)

Go 漏洞数据库 (https://vuln.go.dev) 是一个综合性的信息源,其中包含公共 Go module 中可导入包的已知漏洞。这些漏洞数据的上游也有其来源,例如 CVE 和 GHSA,以及 Go 软件包维护者的直接报告。Go 安全团队获取到这些数据后会进行审查,并将其添加到数据库中。

任何人可直接访问 https://pkg.go.dev/vuln/ 查看 Go 漏洞数据库。有关该数据库的更多信息,查看 go.dev/security/vuln/database。

新的 govulncheck 命令让 Go 开发者能够了解可能影响其项目的已知漏洞。govulncheck 通过分析代码库,并仅根据代码中的哪些函数传递调用易受攻击的函数来发现实际影响的漏洞。要开始使用 govulncheck,先运行以下命令:

$ go install golang.org/x/vuln/cmd/govulncheck@latest
$ govulncheck ./...

govulncheck 是一个独立的工具,团队未来计划将该工具集成到主要的 Go 发行版中。目前,Go 安全团队已将漏洞检测功能集成到现有的 Go 工具和服务中,例如 Go package discovery site,以及像下面这样的页面,显示了 golang.org/x/text 每个版本中的已知漏洞。

最后,VS Code Go 扩展的漏洞检测功能也即将推出。


相關推薦

2022-11-12

在安全方面,Go 有一个新的的漏洞数据库和一个新的 govulncheck 命令,让 Go 开发者能够了解可能影响其项目的已知漏洞。 在 Go 的第 14 个年头,Russ 表示团队将继续努力,使 Go 成为大规模软件工程的最佳环境。目前的计划是

2022-12-21

vulncheck 分析工具由 Go 的漏洞数据库和 Go 语言服务器的govulncheck集成支持。 变化 新的 “Go:Toggle Vulncheck” 命令可启用/禁用基于导入的漏洞分析。这需要 gopls v0.11.0 或更新版本。 如果可以确定测试名称,则会向某些子测

2023-08-07

的版本标记的最后一道防线。虽然它是保持 Go 生态系统安全的重要组成部分,但仅靠它无法防止 Go 模块中的危险代码。 动态版本控制:Go 模块的伪版本提供了未标记的 commit-based 版本控制,为跟踪依赖项增加了另一层复杂性

2023-08-30

范达到了重大发布。所有规范、要求、场景、威胁模型和安全审计报告都可在此发布中获取。希望与 Notary 项目签名和工具进行互操作的独立软件供应商和工具开发人员应使用规范确保兼容性。 Notary Project OCI signature specificatio

2022-05-11

全面的边缘管理,以服务形式提供,通过更强大的控制和安全功能来监督和扩展远程部署,包括零接触配置、系统健康可见性和更快速响应的漏洞缓解,所有这些都来自一个界面。 使用 Red Hat Enterprise Linux 的集成容器管理技术

2022-12-10

对不同协议的攻击和自我传播;还使用 WebSocket 协议与其命令和控制服务器通信。它主要针对 Linux 操作系统,以控制易受攻击的设备。 根据介绍,Zerobot 的目的是将受感染的设备添加到分布式拒绝服务 (DDoS) 僵尸网络中,以对指

2022-05-25

Breaking Changes 自 Beta 版以来有什么新变化?  开发团队在 beta 版本中宣布了 Node ESM 支持的 stable target,为node12;但是,鉴于 Node.js 12 不再处于维护状态,所以现在开始转向node16。这应该会提供来自 Node.js 的较新的 ES 模块

2023-04-08

,通过 WCGI,那些寻求在服务器端开发中实现更高效率、安全性和灵活性的开发者可以真正从这种方法中受益。 WCGI 代表了一种改进的服务器端开发方法,它集成了 WebAssembly 的灵活性、安全性和性能。这项创新技术有可能重塑 S

2023-08-12

21,以及 PostgreSQL 16 的第三个测试版。此版本修复了两个安全漏洞并修复了过去几个月报告的 40 多个 bug。 如果你使用 BRIN 索引来查找NULL值, 则升级到此版本后需要重新索引它们。在 PostgreSQL 12 及更高版本上,你可

2021-12-07

盒就能获得报酬,这也有助于进一步加强 Firefox 浏览器的安全性。 RLBox 并非只能用于 Firefox 浏览器,Mozilla 还希望其他浏览器和软件项目也能够采用这项技术,从而为用户在更广泛的应用领域带来更高的安全性。如无意外,Fir

2023-04-01

,以后将不再向各 Linux 发行版的邮件列表发送有关 cURL 安全漏洞的提前预告。 Daniel Stenberg 从 2011 年开始向发行版邮件列表(当时称为 linux-distros)发送有关"已发现但未解决"的 curl 安全漏洞的“预先通知”。通过提前通知各

2023-08-03

创始人等。 Socket 是一家提供扫描工具来检测开源代码中安全漏洞的初创公司,旨在保护应用程序免受潜伏在开源供应链中的恶意依赖项的影响。随着此轮融资的完成,a16z 的普通合伙人兼 Signal Sciences 联合创始人 Zane Lackey 将加

2022-04-02

关键错误修复、对操作系统版本更新的支持,以及可能的安全修复。 但是这额外扩展的两年支持并不适用于所有用户,仅限于订阅了 Qt Subscription License 的客户。 扩展支持是一项延长 EoS 版本的标准支持期的服务。扩展支持允

2022-10-16

HummerRisk v0.4.0 已经发布,云原生安全检测平台 此版本更新内容包括: 快速开始 仅需两步快速安装 HummerRisk: 准备一台不小于 4 核 8 G 内存的 64位 Linux 主机; 以 root 用户执行如下命令一键安装 HummerRisk。 curl -sSL https: