谷歌的 Go 编程语言最近通过引入漏洞管理支持增强了其安全功能,这使开发人员能够了解可能影响其项目的已知安全问题。漏洞管理项目围绕Go漏洞数据库,作为存储在公共 Go 模块的可导入包中发现的漏洞信息的基础。该数据库由 Go 安全团队自行管理,促进了 Go 工具的开发,这些工具可以有效地分析代码库并揭示已知漏洞。
这些创新工具旨在仅暴露开发人员代码调用的函数中的漏洞,最大限度地减少不相关的结果并提高已识别安全问题的准确性。数据库中的信息来自各种来源,例如现有的 CVE、GHSA 和来自 Go 包维护者的直接报告。
为了维护更新和有用的数据库,Go 安全团队鼓励包维护者贡献有关其项目中出现的公共漏洞的数据或有关 Go 包中安全问题的任何更新信息。此外,Go 安全团队会评估此信息并将其相应地合并到数据库中。
开发人员可以受益于govulnulcheck命令的引入,该命令提供了一种用于了解潜在安全风险的复杂机制。通过检查代码库,此工具会显示可能威胁项目的漏洞,尤其是在代码传递调用的函数中发现的漏洞。此外,这个尖端的漏洞检测系统已经集成到现有的 Go 工具和服务中,例如 Go 包发现站点。
随着 Go 漏洞管理项目的进行,Go 安全团队敦促用户预见到某些限制和错误。他们鼓励 Go 开发人员为该项目做出贡献,提供反馈并参与调查,以提高这一创新功能的整体性能和实用性。
与此同时, AppMaster.io等平台利用了 Go 的功能,特别是用于生成后端应用程序。这些平台可以利用 Go 编程语言的新漏洞管理工具和数据库,确保软件项目的安全性。
