开源代码扫描工具 Socket 添加 Go 语言支持


继日前宣布完成 2000 万美元的 A 轮融资后,开源代码扫描工具 Socket 紧接着宣布新增了对 Go 语言的支持;此前其仅支持 JavaScript 和 Python 语言。

“在过去的几个月中,我们观察到针对 Golang 的供应链攻击有所增加。意识到这种迫在眉睫的威胁后,我们知道是时候将 Socket 已经验证的主动式防护引入 Go 了。”

Socket 方面还介绍了在添加 Go 支持过程中所面临的挑战:

  • 自定义依赖关系管理:与具有集中式存储库的 npm 或 pip 不同,Go 的 decentralized 方法及其基于 VCS 的依赖项获取可能更难监控。使用 GOPROXY 协议作为 crutch 的工具将错过发布到版本控制系统的最新版本,而这些正是最有可能发起供应链攻击的软件包。
  • No lockfile:go.sum文件不是 lockfile,而是 Go 抵御 VCS 存储库和模块代理中被劫持的版本标记的最后一道防线。虽然它是保持 Go 生态系统安全的重要组成部分,但仅靠它无法防止 Go 模块中的危险代码。
  • 动态版本控制:Go 模块的伪版本提供了未标记的 commit-based 版本控制,为跟踪依赖项增加了另一层复杂性。
  • 传递依赖关系:监视间接依赖项需要深入了解go.mod 文件和最小版本选择。安全工具需要了解 Go 模块解析方案中的潜在漏洞以及通过传递依赖引入的危险。正如在 npm 生态系统中看到的那样,当安全工具无法正确解析使用的依赖项时,通常会出现混乱和安全漏洞。

目前其已面向所有客户提供了"early access"阶段的测试特性和功能。主要特点包括:

  • 全面分析go.mod文件,并根据go.sum校验和进行验证
  • 支持检测任何给定项目或包的整个依赖项生成列表中的已知漏洞
  • 监控直接和间接依赖关系
  • 模块替换和排除的兼容性检查
  • 包资源管理器和 Socket 网站搜索
  • 在 Socket reports 中列出 Go issues

在接下来的几周内,预计还将推出与 Socket for GitHub 和 Socket for VSCode 集成、增强 Go 模块支持、改进 AI 驱动的 Go 问题检测和零日漏洞监控等内容。

值得一提的是,除了新增对 Go 生态系统的支持外。Socket 还宣布了一个用于在下载前检查开源包是否安全的浏览器扩展,目前可用于 Chrome、Edge、Brave 和任何其他基于 Chromium 的浏览器以及 Firefox;并推出了一个付费增值功能,可以深入研究整个组织的代码库,以便随时查找任何依赖项。


相關推薦

2024-07-10

EntityMetas.META_X_UNLIMITED 添加 提供者手动注册接口 调整 代码结构与 java,python 尽量保持相近 优化 SocketD.newEntity 与小程序的兼容性(小程不支持 File、Blob 类型) 修复 wechat 的环境识别问题 修复 在 ios/android 上检测 TextEncoder

2024-07-25

iAPP https://www.bilibili.com/video/BV1T94y1T7sp/ 演示源码 代码仓库: https://gitee.com/noear/socketd https://github.com/noear/socketd 官网: https://socketd.noear.org

2024-02-09

iAPP https://www.bilibili.com/video/BV1T94y1T7sp/ 演示源码 代码仓库: https://gitee.com/noear/socketd https://github.com/noear/socketd 官网: https://socketd.noear.org

2023-08-03

(Julia 和 Kevin Hartz)的联合创始人等。 Socket 是一家提供扫描工具来检测开源代码中安全漏洞的初创公司,旨在保护应用程序免受潜伏在开源供应链中的恶意依赖项的影响。随着此轮融资的完成,a16z 的普通合伙人兼 Signal Sciences

2024-03-09

iAPP https://www.bilibili.com/video/BV1T94y1T7sp/ 演示源码 代码仓库: https://gitee.com/noear/socketd https://github.com/noear/socketd 官网: https://socketd.noear.org

2024-04-25

Socket.D 协议? Socket.D 是一个网络应用协议。在微服务、移动应用、物联网等场景,可替代 http、websocket 等。协议详情参考《官网介绍》。 支持: tcp, udp, ws, kcp 传输。 目前:java,kotlin,javascript,node.js,python 语言环境可

2024-04-30

iAPP https://www.bilibili.com/video/BV1T94y1T7sp/ 演示源码 代码仓库: https://gitee.com/noear/socketd https://github.com/noear/socketd 官网: https://socketd.noear.org

2024-01-23

iAPP https://www.bilibili.com/video/BV1T94y1T7sp/ 演示源码 代码仓库: https://gitee.com/noear/socketd https://github.com/noear/socketd 官网: https://socketd.noear.org

2024-01-31

es": { "@noear/socket.d": "2.3.9", "ws": "^8.16.0" } } 服务端示例代码 const {SocketD}= require('@noear/socket.d'); function main(){ let server = SocketD.createServer("sd:ws") .config(c => c.port(8602).fragmentSize(1024 * 1024)) .listen(buildListener()) .start(); } function b

2024-07-30

用出海,深度支持国际化。适合用于微服务学习和商用,开源免费。 Simple Admin Core / Job / MCMS / FMS / Common v1.5.2 更新 介绍 核心模块 Core, 定时任务模块 Job, 消息中心模块 MCMS, 以及文件管理模块 FMS 均已升级 核心模块用于基础的

2024-08-22

用出海,深度支持国际化。适合用于微服务学习和商用,开源免费。 Simple Admin Core / Job / MCMS / FMS / Common v1.5.4 更新 介绍 核心模块 Core, 定时任务模块 Job, 消息中心模块 MCMS, 以及文件管理模块 FMS 均已升级 核心模块用于基础的

2022-09-25

smart-socket 是一款极简、易用、高性能的国产开源 AIO 通信框架,旨在帮助开发人员轻松打造企业级通信应用。 更新内容🎉 支持低内存运行模式,实现低配内存服务器运行百万长连接。 增加对 DelimiterFrameDecoder 的入参校验

2023-04-28

KCL 是什么? KCL 是一个开源的基于约束的记录及函数语言,期望通过成熟的编程语言技术和实践来改进对大量繁杂配置和策略的编写,致力于构建围绕配置的更好的模块化、扩展性和稳定性,更简单的逻辑编写,以及更快的自

2024-07-16

用出海,深度支持国际化。适合用于微服务学习和商用,开源免费。 Simple Admin Core / Job / MCMS / FMS / Common v1.5.0 更新 介绍 核心模块 Core, 定时任务模块 Job, 消息中心模块 MCMS, 以及文件管理模块 FMS 均已升级 核心模块用于基础的