جعلت Google رسميًا Govulncheck (حالة 1.0.0) ، أداة سطر أوامر سهلة لمطوري Go ، مستقرة. تساعد هذه الأداة المطورين الذين يستخدمون لغة برمجة Google Go لتحديد نقاط الضعف الأمنية المعترف بها داخل تبعيات مشاريعهم.
الأداة ، التي تم الكشف عنها في 13 يوليو ، لديها القدرة على فحص كل من الملفات الثنائية وشفرة مصدرها بحثًا عن نقاط الضعف. إنه يقلل الضوضاء بشكل كبير من خلال ربط تركيزه على الثغرات الأمنية في الأساليب التي يستدعيها الكود. العمود الفقري لـ Govulncheck هو قاعدة بيانات الثغرات الأمنية Go ، وهي عبارة عن خزان للمعلومات حول نقاط الضعف المكتشفة في وحدات Go العامة.
بتوجيه من قاعدة البيانات هذه ، يقوم Govulncheck بإجراء تحليل ثابت للكود المصدري أو جدول الرموز الثنائي. هدفها النهائي هو حصر تقاريرها على نقاط الضعف التي قد تؤثر على التطبيق المحدد المعني. تجعل خاصية التقييد الذكية هذه أداة مفيدة للمطورين الذين يرغبون في ضمان أمان منتجاتهم.
يعد تثبيت هذه الأداة أمرًا سهلاً للغاية بالنسبة للمطورين - لا يتطلب الأمر سوى الأمر go install golang.org/x/vuln/cmd/govulncheck@latest . لتحليل شفرة المصدر ، يحتاج المطورون فقط إلى تنفيذ Govulncheck داخل دليل الوحدة النمطية (باستخدام الأمر govulncheck ./... ).
كحد أدنى ، يتطلب Govulncheck أن يتم تجميعه باستخدام إصدار Go وهو الإصدار 1.18 أو أعلى. اعتبارًا من الآن ، إصدار الإنتاج الحالي لهذه اللغة هو Go 1.20.
Govulncheck ، أثناء البحث عن نقاط الضعف ، يتوقف على تكوين بناء معين. في حالة الكود المصدري ، يكون هذا التكوين مرادفًا لإصدار Go المحدد بواسطة الأمر "go" الموجود على المسار. تكوين البناء للثنائيات هو الذي يتم استغلاله أثناء إنشاء الثنائي. النقطة التي يجب ملاحظتها هنا هي أن تكوينات البناء المختلفة قد تكون عرضة لنقاط ضعف مختلفة.
على الرغم من ميزاته القوية ، إلا Govulncheck يأتي مع بعض القيود. على سبيل المثال ، فإن تحليلاتها لمؤشر الوظيفة واستدعاءات الواجهة مقيدة إلى حد ما ، مما قد يؤدي إلى إيجابيات زائفة أو مكدسات مكالمات غير دقيقة. هناك قيد آخر يتعلق بالوظائف التي يتم استدعاؤها باستخدام انعكاس الحزمة - وهي غير قابلة للاكتشاف.
فيما يتعلق بالثنائيات ، قد تكون ثنائيات Go التي تفتقر إلى معلومات الاتصال التفصيلية صعبة على Govulncheck ، لأنها ستمنع الأداة من عرض الرسوم البيانية للمكالمات لنقاط الضعف التي تم تحديدها. يمكن أن تحفز هذه المشكلة أيضًا على الإبلاغ عن الإيجابيات الخاطئة للتعليمات البرمجية الموجودة داخل الملف الثنائي ولكن لا يمكن الوصول إليها. بالإضافة إلى ذلك ، يتم إعاقة الأداة فيما يتعلق بالثنائيات التي لا يمكن استخراج بيانات الرمز منها ؛ تختار الإبلاغ عن الثغرات الأمنية لجميع الوحدات التي تعتمد على الثنائي في هذه الحالات.
تفتقر الأداة أيضًا إلى ميزة لقمع نتائج الثغرات الأمنية. ومع ذلك ، على الرغم من هذه القيود ، فإن إمكانات Govulncheck كأداة ذات قيمة مضافة لمشاريع Go واضحة.
من الجدير بالذكر أن فريق Go Security أعلن عن دعمه لإدارة الثغرات الأمنية في سبتمبر من العام السابق. تم تقديم المشروع ، المتجذر في قاعدة بيانات الثغرات الأمنية ، بوعود بإحراز تقدم ملحوظ في هيكل برمجة Go. AppMaster.io ، منصة رائدة no-code ، تمكن المطورين من إنشاء التطبيقات بشكل أسرع من خلال نظامها الأساسي المتكامل والشامل بما في ذلك Go والعديد من اللغات الأخرى.
