Go新漏洞管理工具: govulncheck

最新推荐文章于 2024-10-10 07:22:53 发布
最新推荐文章于 2024-10-10 07:22:53 发布
阅读量544 收藏
点赞数
文章标签: 数据库 java python 人工智能 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RA681t58CJxsgCkJ31/article/details/126801269
版权

我们很高兴地宣布 Go 对漏洞管理的最新支持,这是我们为帮助 Go 开发者了解可能影响他们的已知漏洞而迈出的第一步。

这篇文章概述了这个项目的当前状况和后续计划。

概览

Go 提供的工具可以分析你的代码库并展示出已知的漏洞,该工具由 Go 安全团队设计维护的 Go 漏洞数据库提供支持。Go 只展示代码调用函数中的漏洞,从而减少结果中的噪音。

82d06a9ded6aecf509735f95a2636889.png

Go 漏洞数据库

Go 漏洞数据库(https://vuln.go.dev/)是一个囊括了公共 Go 模块中可导入包的已知漏洞的全面信息源。

漏洞数据来自现有来源(如 CVEs 和 GHSAs)以及 Go 软件包维护者的直接报告。这些信息将由 Go 安全团队审查并添加至数据库中。

我们鼓励软件包维护者贡献他们自己项目中的公共漏洞信息,并更新现有漏洞信息。我们旨在让报告漏洞成为一个低阻力的过程,所以请把你的建议发送给我们,以便于我们进行改进。

我们可以在浏览器中查看 Go 漏洞数据库,网址为 pkg.go.dev/vuln。关于数据库的更多信息详见 go.dev/security/vuln/database。

使用 govulncheck 进行漏洞检测

新的 govulncheck 命令是一种低噪音、稳定的方式,让 Go 用户了解可能影响其项目的已知漏洞。Govulncheck 会基于代码中涉及调用易受攻击函数的函数分析你的代码库,展示对你有实际影响的漏洞。你可以在项目中运行以下程序来使用 govulncheck。

$ go install golang.org/x/vuln/cmd/govulncheck@latest
$ govulncheck ./...

Govulncheck 是一个独立的工具,以便在我们收集用户的反馈时可以频繁更新和快速迭代。从长远来看,我们计划将 govulncheck 工具整合到 Go 的主要发行版中。

为了将漏洞检查直接集成到其他工具和流程中,vulncheck 包将 govulncheck 的功能作为 Go API 导出。

集成

在开发和部署过程中尽可能早地了解漏洞总是更好的。为此,我们将漏洞检测整合到现有的 Go 工具和服务中,如Go 软件包发现页。例如,这个页面显示了 golang.org/x/text 每个版本中的已知漏洞。通过 VS Code Go 扩展进行漏洞检查的功能也即将推出。

后续计划

我们希望你能发现 Go 对漏洞管理的支持是有用的,并帮助我们改进它!

Go 漏洞管理是一项正在积极开发中的新功能,可能会有一些错误和局限之处。

我们希望您能在以下方面做出贡献,帮助我们进行改进。

  • 贡献新的和更新现有的涉及你所维护的 Go 软件包的公共漏洞信息

  • 参加此调‍查,分享您使用 govulncheck 的体验

  • 向我们反馈问题和新功能需求

我们很高兴能与你合作,建立一个更好、更安全的 Go 生态系统。

----

相关链接:

Go 漏洞数据库https://vuln.go.dev/

贡献:https://go.dev/s/vulndb-report-new

更新:https://go.dev/s/vulndb-report-feedback

建议:https://golang.org/s/vuln-feedback

govulncheck 命令:

https://pkg.go.dev/golang.org/x/vuln/cmd/govulncheck

vulncheck 包:

https://pkg.go.dev/golang.org/x/vuln/vulncheck

Go 软件包发现页:https://pkg.go.dev/

页面:

https://pkg.go.dev/golang.org/x/text?tab=versions

局限之处:

https://pkg.go.dev/golang.org/x/vuln/cmd/govulncheck#hdr-Limitations

贡献新的:https://golang.org/s/vulndb-report-new

更新现有的:

https://go.dev/s/vulndb-report-feedback

参加此调查:

https://golang.org/s/govulncheck-feedback

反馈:

https://golang.org/s/vuln-feedback

----

原文地址:

https://go.dev/blog/vuln

原文作者:

Julie Qiu, for the Go security team

本文永久链接:

https://github.com/gocn/translator/blob/master/2022/w37_Vulnerability_Management_for_Go.md

译者:张宇

校对:Fivezh

2022 GopherChina大会报名火热进行中!

扫描下方二维码即可报名参与

446f4d5b0b6be1d5d41e2a0b7606235b.png

大会合作、现场招聘及企业购票等事宜请联系微信:18516100522

1f403296429e0a5853222f7cca79b63c.png

戳这里 GO!

Go中国
关注
Go的全漏洞检测工具govulncheck来了
perfume
09-11 2128
前言 Go安全团队在2022.09.06发布了全漏洞检测工具govulncheck,可以帮助我们发现Go程序里的安全漏洞。 本文详细介绍该工具目前的现状以及接下来的功能规划。 Go漏洞检测系统架构 上图是Go安全团队对于Go代码漏洞检测的系统架构图。 第1步,漏洞采集。Go安全团队会采集众多漏洞数据库,包括公开的漏洞数据库(例如National Vulnerability Database (NVD)[1]和 GitHub Advisory Database[2])、社区反馈的[Go package
Go 代码审计高危漏洞(sqli\cmd\ssrf)
god_Zeo的安全博客
10-30 1404
Go 代码审计高危漏洞 sqli注入 cmd命令执行 ssrf
Golang代码漏洞扫描工具介绍——govulncheck
killer1989的博客
09-15 756
govulncheck是一个命令行工具,帮助Go用户在项目依赖中查找已知的漏洞。该工具可以分析代码库和二进制文件,并通过优先考虑实际调用你代码的函数中的漏洞来减少干扰。
Go漏洞数据库:为Go生态系统保驾护航
最新发布
gitblog_00744的博客
10-10 569
Go漏洞数据库:为Go生态系统保驾护航 vulndb [mirror] The Go Vulnerability Database 项目地址: https://gitcode.com/gh_mirrors/vu/vulndb ...
漏洞补丁管理
12-12
清理已安装的补丁,保持系统盘的整洁!在C:/WINDOWS目录里,会有这个文件夹:$NtUninstallKB977165$(默认为隐藏文件夹)
Golang 程序漏洞检测利器 govulncheck(一):安装和使用方法
路多辛的所思所想
08-31 1608
govulncheck 是一个命令行工具,可以帮助 Golang 开发者快速找到项目代码和依赖的模块中的安全漏洞。该工具可以分析源代码和二进制文件,识别代码中对这些漏洞的任何直接或间接调用。默认情况下,govulncheck 通过 Go 漏洞数据库 https://vuln.go.dev 提供的接口查询相关的模块是否包含漏洞(查询接口的请求只包含模块路径,不包含程序的代码或其他属性)。
Goby漏洞检测工具:简明使用与最版本
资源摘要信息:"Goby是一种基于图形界面的漏洞检测工具,它支持多种操作系统平台。该工具专门设计用于发现网络、系统、应用程序等中的安全漏洞。Goby提供了丰富、直观的图形界面和易于理解的用户交互方式,让使用者...
Golang依赖管理工具:glide从入门到精通使用
09-11
Golang依赖管理工具:glide从入门到精通使用 glide是Golang的包管理工具,是为了解决Golang依赖问题的。 为什么需要glide? 原因很简单, Go 语言原生包管理的缺陷。罗列一下golang的 get 子命令管理依赖有很多大...
goby主机(服务器)漏洞扫描工具
07-22
实战性:关注真正用于实际攻击的漏洞数量,以及漏洞的利用深度(不关注漏洞库的数量) 体系性:打通渗透前,渗透中,以及渗透后的完整流程完整DOM事件收集,自动化触发。 高效性:利用积累的规则库,全自动的实现...
2024年最Go:安全漏洞扫描工具Gosec详解
2401_84302655的博客
05-01 362
Gosec(之前称为 Gas)是一款开源的 Go 语言安全扫描工具,它能够自动检测 Go 代码中的安全漏洞。Gosec 通过分析 Go 代码的抽象语法树(AST),来识别出潜在的安全问题,如 SQL 注入、未处理的错误、不安全的加密方法等。
goby-漏洞检测工具
02-11
《goby-漏洞检测工具详解》 在网络安全领域,漏洞检测是至关重要的环节,它能够帮助我们及时发现并修复系统中的安全弱点,防止恶意攻击者利用这些漏洞进行破坏。goby是一款专门用于漏洞检测的工具,它以高效、全面...
VulnCheckFramework:正在进行的工作。 当前唯一有用的功能是HTTP basicauth和基于表单的默认凭据检查
05-01
=== PWNMeNot === PWNMeNot是用于默认凭据检查和漏洞验证的python框架。 该文件用作框架的文档和示例用法。 ==基本用法== 运行./VulnChecks.py将打印帮助菜单。 有关示例用法,请参见以下各节。 ==默认凭据检查== 当前,该框架最积极开发和独特的功能是默认的HTTP凭据检查模块。 给定主机/端口或NMAP输出的列表作为输入,框架将使用已知的默认凭据识别并有选择地尝试对包含匹配项的所有服务进行身份验证。 例如,要对NMAP扫描的结果运行所有默认凭据模块,可以使用以下命令: ./VulnChecks.py -r http_login * -g input.gnmap -w 10 如果用户具有一组已知凭据,并且希望在所有模块上对其进行测试,则以下命令会将用户指定的凭据添加为每个模块检查的第一组凭据: ./VulnChecks.py
掌握这些特性 更好地选择漏洞管理工具
weixin_34326429的博客
08-01 100
漏洞管理产品是如何工作的?在评估厂商漏洞管理产品时,企业信息安全专业人员该着重看哪些要素? 漏洞管理表明了安全漏洞存在于每个组织机构中。每天大量的操作系统、应用以及基础设施的安全警报意味着你的企业很可能有潜在的安全问题,且尚未被发现。现实是你的企业的IT环境存有漏洞,而你的团队还尚未修正好的时候,下一波问题已然来临。 漏洞管理工具帮助信息安全团队走在安...
go语言重大bug,make缓存读取数据漏洞,4096漏洞
咸甜适中
02-09 1498
做一个小程序,需要对文件内容分片读取,但是读取过程中发现数据读取不全,经测试多个make缓存读取文件时发现问题。 一、生成测试文件(AAA.txt) // 创建一个AAA.txt文件,写入1万个A wFile, _ := os.OpenFile("AAA.txt", os.O_WRONLY|os.O_CREATE, 0666) defer wFile.Close() for i := 0; i < 10000; i++ { wFile.WriteString("A") } 二、多缓存读
计算机网友将饭卡余额改成100多万
HackKong的博客
04-10 505
你在学校干过最疯狂的事是什么?
这张学习路线图,涵盖Web安全所有知识点,网安小白快拿走
yz_weixiao的博客
01-13 545
相信你都能从中学到的知识。
10大漏洞评估和渗透测试工具
Innocence_0的博客
07-18 1470
专为企业设计的强大的漏洞扫描和管理工具,它可以检测和利用 SQL 注入和 XSS 等漏洞。针对中小型企业的 Web 应用程序漏洞扫描程序,但也可以扩展到更大的组织。它可以检测 SQL 注入、XSS 和其他威胁。Intruder是一种在线漏洞扫描程序,可通过在线自动检测各种漏洞。具有现成利用代码的可靠渗透测试框架,Metasploit 项目提供了大量漏洞利用代码和相关漏洞的信息,可以帮助安全人员识别安全问题、验证漏洞、安全性评估。Nessus是目前全世界最多人使用的系统漏洞扫描与分析软件。
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 1411
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
go 中的代码漏洞检查
DisMisPres的博客
07-31 596
govulncheck是go官方提供的一个二进制工具,用于检查go代码或二进制文件是否存在已知的安全漏洞。是go官方提供的一个漏洞检查工具。go团队从多处采集漏洞并存入自己的漏洞库,然后通过工具对代码或二进制文件进行漏洞扫描。很棒的一款工具,建议在日常的开发流程中(CI/CD,代码审查等)引入漏洞检查,能够帮助我们通过go来构建高质量、高安全性的程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值