【管理漏洞有哪些 21434漏洞管理】近年来针对软件供应链的安全问题越来越突出,从之前的语言模块投毒的,最近PyPI
远程执行漏洞,还有今年年初的Java 基础日志库Log4j 安全漏洞都充分展现了这个问题 。为了应付这个问题 , Golang新推出了漏洞管理支持 , 用来帮助Golang开发人员了解已知漏洞和解决供应链安全威胁 。本文我们就来介绍一下Golang漏洞管理机制 。
文章插图
概述Go最新推出了漏洞管理工具来分析代码库和发现依赖库中已知的漏洞 。工具由Go 漏洞数据库提供支持,由Go 安全团队维护 。Go 的工具仅通过暴露漏洞,解决代码和依赖供应链中存在的安全问题,整个架构如下图所示:
文章插图
Go漏洞数据库Go 漏洞数据库( vuln.go.dev ) 是一个漏洞综合资源库 , 记录了Golang 公共模块中已知漏洞的信息 。
漏洞数据收集了现有公共漏洞数据库(例如CVE 和GHSA)的数据以及来自Go包维护者的直接上报报的信息,以及通过go项目中安全补丁包的发布的信息 。
所有以上的数据有Go 安全团队会审查并将其添加到数据库中 。
Golang官方鼓励各个包维护者积极响应安全问题,并能及时报告自己项目中的公共漏洞的信息和机器漏洞更新的信息 。
所有漏洞数据信息都可以通过浏览器中在pkg.go.dev/vuln公开浏览 。
文章插图
govulncheck :漏洞检测新推出的govulncheck 命令行工具用来帮助Go 开发者用户了解其项目和依赖的保重已知漏洞的可靠方法 。govulncheck 会自动分析代码库并仅显示代码和软件供应链的安全情况,基于代码中的正在传递调用函数和易受攻击的函数 。
可以在项目通过运行以下命令安装和使用govulncheck:
go install golang.org/x/vuln/cmd/govulncheck@latest
govulncheck ./…
目前Govulncheck是一个频繁更新和快速迭代的独立工具,未来有可能计划将govulncheck 工具集成到Go 发行版中 。
将漏洞检查直接集成到其他工具和流程中,可以使用vulncheck 包导出govulncheck的检查结果,并作为Golang API 的功能 。
集成尽早了解漏洞总是更好是在开发和部署过程中 。为此,将漏洞检测集成到现有的Golang工具和服务中,例如Go 包搜索站 。
例如 , 在golang.org/x/text显示每个版本的中的已知漏洞 。通过VS Code Go 扩展的漏洞检查功能也即将推出 。
文章插图
- 一个纵队有多少兵力 一个旅有多少人员编制
- 当今世界最富有的国家 全球最富有的国家有哪些
- 人丝和天丝有什么区别
- 火车软卧有单独的卫生间吗
- 惟楚有材是哪个省
- 高铁上为什么没有蹲厕
- 上海有哪些地方
- 春雷有什么寓意
- 接地的作用
- 虱子繁殖有多快