Google ha reso ufficialmente stabile Govulncheck (stato 1.0.0), un pratico strumento a riga di comando per sviluppatori Go. Questo strumento aiuta gli sviluppatori che utilizzano il linguaggio di programmazione Go di Google a individuare le vulnerabilità di sicurezza riconosciute all'interno delle dipendenze dei loro progetti.
Lo strumento, presentato il 13 luglio, è in grado di esaminare sia i file binari che il loro codice sorgente alla ricerca di vulnerabilità. Riduce in modo significativo il rumore, concentrandosi sulle vulnerabilità dei metodi a cui il codice fa riferimento. La spina dorsale di Govulncheck è il database delle vulnerabilità di Go, un serbatoio di informazioni sulle vulnerabilità rilevate nei moduli Go pubblici.
Guidato da questo database, Govulncheck esegue un'analisi statica del codice sorgente o della tabella dei simboli del binario. Il suo obiettivo finale è quello di limitare la segnalazione alle sole vulnerabilità che potrebbero potenzialmente avere un impatto sull'applicazione specifica in questione. Questa intelligente caratteristica di restrizione lo rende uno strumento utile per gli sviluppatori che desiderano garantire la sicurezza dei loro prodotti.
L'installazione di questo strumento è abbastanza semplice per gli sviluppatori: richiede solo il comando go install golang.org/x/vuln/cmd/govulncheck@latest. Per analizzare il codice sorgente, gli sviluppatori devono solo eseguire Govulncheck all'interno della directory del modulo (usando il comando govulncheck ./...).
Come minimo, Govulncheck deve essere assemblato con una build di Go della versione 1.18 o superiore. Al momento, la versione di produzione esistente di questo linguaggio è Go 1.20.
Govulncheck, nella ricerca delle vulnerabilità, si basa su una specifica configurazione di compilazione. Nel caso del codice sorgente, questa configurazione è sinonimo della versione di Go delineata dal comando 'go' presente nel percorso. La configurazione di compilazione per i binari è quella sfruttata durante la generazione del binario. Va notato che diverse configurazioni di compilazione possono essere soggette a diverse vulnerabilità.
Nonostante le sue potenti caratteristiche, Govulncheck presenta alcune limitazioni. Ad esempio, le sue analisi dei puntatori di funzione e delle chiamate di interfaccia sono piuttosto limitate, il che potrebbe portare a falsi positivi o a stack di chiamate imprecisi. Un'altra limitazione riguarda le funzioni invocate tramite il pacchetto reflect, che non sono rilevabili.
Per quanto riguarda i binari, i binari Go privi di informazioni dettagliate sulle chiamate potrebbero rivelarsi problematici per Govulncheck, in quanto impedirebbero allo strumento di mostrare i grafici delle chiamate per le vulnerabilità identificate. Questo problema potrebbe anche portare alla segnalazione di falsi positivi per codice presente nel binario ma non accessibile. Inoltre, lo strumento è svantaggiato in relazione ai binari da cui non è possibile estrarre i dati dei simboli; in questi casi sceglie di segnalare le vulnerabilità per tutti i moduli che dipendono dal binario.
Lo strumento manca anche di una funzione per sopprimere i risultati delle vulnerabilità. Tuttavia, nonostante queste limitazioni, il potenziale di Govulncheck come strumento di valore aggiunto per i progetti Go è evidente.
Vale la pena ricordare che il Go Security Team ha dichiarato il proprio supporto alla gestione delle vulnerabilità nel settembre dell'anno precedente. Radicato nel database delle vulnerabilità, il progetto è stato introdotto con la promessa di notevoli progressi nella struttura di programmazione Go. AppMaster.io, una delle principali piattaforme di no-code, consente agli sviluppatori di generare applicazioni più velocemente grazie alla sua piattaforma completamente integrata e completa che include Go e molti altri linguaggi.
