期待这个 Go 新特性：让 Go 漏洞无处遁形

大家好，我是站长 polarisxu。

今天和大家分享一个 Go 团队的信息。

之前我分享过，如果 Go 遇到安全问题，会临时发布漏洞修复版本。一直以来，在安全方面，Go 相关的设施还是不太够。有一个组织 「JFrog」，提供了相关工具（Xray），能够扫描出各种语言的安全问题（之前用在线版，但目前貌似没有了，没找到）。

今天看到 rsc 前两天发了一条推文

Go Team 计划创建一个 Go 漏洞数据库，希望为 Go 开发人员提供低噪声，可靠的方式，以警告影响其应用程序的已知安全漏洞。

这个安全漏洞数据库，计划基于通用的 JSON 格式，方便静态分析工具做分析，也方便安全人员做研究，因为 JSON 不依赖具体语言。

目前创建了提案草案，计划在 Go 工具链增加相关的支持，比如：go audit。同时会考虑集成到 vscode-go 中，以及在 go.pkg.dev 中也会采用，这样大家可以更安全的使用第三方库，知晓它们有没有安全问题。

这里是关于这个方案的文档，大家可以参与讨论：https://tinyurl.com/vuln-json。

有这个这样的数据库和工具，相信安全问题会有更好的保障~