期待这个 Go 新特性:让 Go 漏洞无处遁形
阅读本文大概需要 2 分钟。
大家好,我是站长 polarisxu。
今天和大家分享一个 Go 团队的信息。
之前我分享过,如果 Go 遇到安全问题,会临时发布漏洞修复版本。一直以来,在安全方面,Go 相关的设施还是不太够。有一个组织 「JFrog」,提供了相关工具(Xray),能够扫描出各种语言的安全问题(之前用在线版,但目前貌似没有了,没找到)。
今天看到 rsc 前两天发了一条推文
Go Team 计划创建一个 Go 漏洞数据库,希望为 Go 开发人员提供低噪声,可靠的方式,以警告影响其应用程序的已知安全漏洞。
这个安全漏洞数据库,计划基于通用的 JSON 格式,方便静态分析工具做分析,也方便安全人员做研究,因为 JSON 不依赖具体语言。
目前创建了提案草案,计划在 Go 工具链增加相关的支持,比如:go audit。同时会考虑集成到 vscode-go 中,以及在 go.pkg.dev 中也会采用,这样大家可以更安全的使用第三方库,知晓它们有没有安全问题。
这里是关于这个方案的文档,大家可以参与讨论:https://tinyurl.com/vuln-json。
有这个这样的数据库和工具,相信安全问题会有更好的保障~
推荐阅读
评论