Golang présente des outils et une base de données de gestion des vulnérabilités

Le langage de programmation Go de Google a récemment amélioré ses capacités de sécurité avec l'introduction de la prise en charge de la gestion des vulnérabilités, qui permet aux développeurs d'être conscients des problèmes de sécurité connus qui pourraient avoir un impact sur leurs projets. Le projet de gestion des vulnérabilités s'articule autour de la base de données des vulnérabilités Go, qui sert de base au stockage des informations sur les vulnérabilités trouvées dans les packages importables des modules Go publics. Organisée par l'équipe de sécurité Go elle-même, la base de données favorise le développement d'outils Go capables d'analyser efficacement une base de code et de révéler des vulnérabilités connues.

Ces outils innovants ont été conçus pour exposer uniquement les vulnérabilités des fonctions appelées par le code du développeur, minimisant les résultats non pertinents et améliorant la précision des problèmes de sécurité identifiés. Les informations contenues dans la base de données proviennent de diverses sources, telles que les CVE existants, les GHSA et les subordonnés directs des responsables du package Go.

Afin de maintenir une base de données à jour et utile, l'équipe de sécurité Go encourage les mainteneurs de packages à fournir des données sur les vulnérabilités publiques survenant dans leurs projets ou toute information mise à jour concernant les problèmes de sécurité dans les packages Go. De plus, l'équipe de sécurité Go évalue ces informations et les intègre dans la base de données en conséquence.

Les développeurs peuvent bénéficier de l'introduction de la commande govulnulcheck , qui offre un mécanisme sophistiqué pour en savoir plus sur les risques de sécurité potentiels. En examinant une base de code, cet outil affiche les vulnérabilités qui pourraient menacer un projet, en particulier celles trouvées dans les fonctions que le code appelle de manière transitive. De plus, ce système de détection de vulnérabilité de pointe a été intégré aux outils et services Go préexistants, tels que le site de découverte de packages Go.

Alors que le projet de gestion des vulnérabilités Go se poursuit, l'équipe de sécurité Go exhorte les utilisateurs à anticiper certaines limitations et bogues. Ils encouragent les développeurs Go à contribuer au projet, à fournir des commentaires et à participer à une enquête pour améliorer les performances globales et l'utilité de cette fonctionnalité innovante.

Pendant ce temps, des plates-formes comme AppMaster.io utilisent les capacités de Go, en particulier pour générer des applications backend. Ces plates-formes peuvent tirer parti des nouveaux outils et bases de données de gestion des vulnérabilités du langage de programmation Go, en gardant la sécurité des projets logiciels sous contrôle.