业务系统的安全问题一直是各企业的 “三菱数控系统解锁” 问题(被发现时)。不知道有多少读者朋友们经历了刚刚结束的 HW 行动。
最近发现有厂商已经可以对 Go 开始做检测了,这又是一大进步。
这不,最近发现 Go 官方自己推出了新的工具,作用是漏洞管理,告诉你已报告的漏洞,并告知你应该如何升级到什么版本。
今天这篇文章就是分享这个安全工具。前置的版本要求是:Go >= 1.18。
govulncheck 是什么
Go 安全团队在 2022 年 9 月,正式推出了 govulncheck 工具,可以根据背后的 Go 漏洞数据库去分析 Go 代码,对已知的问题发出警告,提醒开发者进行修复。
以下是 govulncheck 的架构图:
Go 漏洞管理由以下几个部分组成:
数据源来自各个来源,例如:National Vulnerability Database (NVD)、GitHub Advisory Database,以及直接从 Go 软件包维护者处收集。
漏洞数据库会基于上述第一点来做数据录入,所有的报告均由 Go Security 团队审核和整理。报告采用开源漏洞(OSV)格式,可通过 API 访问。
pkg.go.dev 与 govulncheck 集成,让开发人员能发现项目中的漏洞。
最简 Demo
准备有缺陷的项目
根据 Go 官方的示例,我们需要模拟一个例子来验证安全功能。创建一个 Go 项目 vuln-tutorial,写入如下代码:
import (
…
“golang.org/x/text/language”
)
func main() {<