期待这个 Go 新特性:让 Go 漏洞无处遁形

共 763字,需浏览 2分钟

 ·

2021-05-10 17:58

阅读本文大概需要 2 分钟。

大家好,我是站长 polarisxu。

今天和大家分享一个 Go 团队的信息。

之前我分享过,如果 Go 遇到安全问题,会临时发布漏洞修复版本。一直以来,在安全方面,Go 相关的设施还是不太够。有一个组织 「JFrog」,提供了相关工具(Xray),能够扫描出各种语言的安全问题(之前用在线版,但目前貌似没有了,没找到)。

今天看到 rsc 前两天发了一条推文

Go Team 计划创建一个 Go 漏洞数据库,希望为 Go 开发人员提供低噪声,可靠的方式,以警告影响其应用程序的已知安全漏洞。

这个安全漏洞数据库,计划基于通用的 JSON 格式,方便静态分析工具做分析,也方便安全人员做研究,因为 JSON 不依赖具体语言。

目前创建了提案草案,计划在 Go 工具链增加相关的支持,比如:go audit。同时会考虑集成到 vscode-go 中,以及在 go.pkg.dev 中也会采用,这样大家可以更安全的使用第三方库,知晓它们有没有安全问题。

这里是关于这个方案的文档,大家可以参与讨论:https://tinyurl.com/vuln-json。

有这个这样的数据库和工具,相信安全问题会有更好的保障~



推荐阅读


福利

我为大家整理了一份从入门到进阶的Go学习资料礼包,包含学习建议:入门看什么,进阶看什么。关注公众号 「polarisxu」,回复 ebook 获取;还可以回复「进群」,和数万 Gopher 交流学习。


浏览 26
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报