前言
Go安全团队在2022.09.06发布了全新的漏洞检测工具govulncheck
,可以帮助我们发现Go程序里的安全漏洞。
本文详细介绍该工具目前的现状以及接下来的功能规划。
Go漏洞检测系统架构
上图是Go安全团队对于Go代码漏洞检测的系统架构图。
- 第1步,漏洞采集。Go安全团队会采集众多漏洞数据库,包括公开的漏洞数据库(例如National Vulnerability Database (NVD)和 GitHub Advisory Database)、社区反馈的Go package漏洞以及Go团队修复过的安全漏洞等。
- 第2步:更新Go的漏洞数据库。对于第1步里收集到的安全漏洞,Go安全团队会出具评估报告,对报告的漏洞做评审,如果确认是需要处理的会进入到Go的漏洞数据库里。这些漏洞存储的按照 Open Source Vulnerability (OSV) format 格式进行存储,并且可以通过API获取到。
- 第3步:工具集成。对于新的漏洞处理后,会相应更新 <