У мові програмування Go з’явилися корисні попередження щодо безпеки

Мова програмування Go з відкритим вихідним кодом, розроблена Google, додала підтримку керування вразливостями, пише The Register.

Команда Go нещодавно запустила вебсайт vuln.go.dev для розміщення добірки відомих вразливостей у пакетах, які можна імпортувати з публічних модулів Go. Ці вразливості відібрала й перевірила команда з безпеки Go на основі CVE, порад щодо безпеки GitHub і звітів супроводжувачів.

Імовірно, завдяки цьому база даних недоліків буде високоякісною, пише видання, оскільки несуттєві проблеми були відфільтровані. Але це більше, ніж вибірковість.

Члени команди описали підхід Go, який помітно відрізняється від, скажімо, способу, яким npm CLI GitHub обробляє вразливості в екосистемі JavaScript.

Ще у 2018 році, перед придбанням GitHub, npm представив команду з аудиту для пошуку та ідентифікації пакетів npm із відомими вразливостями в програмах, які покладаються на npm для керування пакетами.

Але використання аудиту npm виявилося проблематичним, оскільки воно засипало розробників помилковими сповіщеннями. Хоча відтоді у npm відбулися деякі покращення, схоже, що надмірні повідомлення про вразливості залишаються нерозв’язаним питанням.

Go натомість реалізував більш цілеспрямований підхід з командою govulncheck, яка разом з vuln.go.dev є «малошумним і надійним способом дізнатися про вразливості, що можуть впливати на проєкти».

Існує також пов’язаний пакет vulncheck, який експортує функції govulncheck як Go API для інтеграції з інструментами безпеки.

«Govulncheck аналізує вашу кодову базу та виявляє лише ті вразливості, які дійсно впливають на вас, виходячи з того, які функції у вашому коді транзитивно викликають уразливі функції», — сказали у команді Go.

У документації пояснюється, що govulncheck «використовує статичний аналіз вихідного коду або таблиці символів двійкових файлів, щоб звузити звіти лише до тих, які можуть вплинути на програму».

Ключовим моментом є попередження розробників лише про відповідні вразливості. Це означає, що буде менше помилкових тривог, хоча й не обов’язково повністю їх усуне.

Теми: Go, безпека

👍ПодобаєтьсяСподобалось6

До обраногоВ обраному0

Facebook

Twitter

Схожі статті

Визначаємо вартість декоратора в Golang

Ярослав Характерник 1 лютого 2019

Привіт, мене звати Ярослав, займаюсь розробкою сервісу для збереження активів у криптовалюті в компанії ITAdviser, розробляємо на Go. У цій статті розглянемо декоратор, його вартість і чи варто використовувати його в розробці нових сервісів. 57
Приклад gRPC-мікросервісу на Go

Ярослав Характерник 18 жовтня 2019

Фреймворк gRPC можна розглядати як хорошу заміну REST під час взаємодії між мікросервісами. Ярослав Характерник, Golang Developer, демонструє розробку мікросервісу для збереження статистики. 39
Синхронізація в Go: горутини, тести, варіанти

Ярослав Характерник 10 січня 2020

Ця стаття про синхронізацію результатів від паралельно виконаних підзадач, призначена для спеціалістів-початківців та тих, хто планує перейти на Go. Ярослав Характерник, Go-девелопер, розповідає про вартість горутини та варіанти перевірки її на швидкодію. 10