原文在[這裡](https://go.dev/security/vuln/) ## 概述 Go幫助開發人員檢測、評估和解決可能被攻擊者利用的錯誤或弱點。在幕後,Go團隊運行一個管道來整理關於漏洞的報告,這些報告存儲在Go漏洞資料庫中。各種庫和工具可以讀取和分析這些報告,以瞭解特定用戶項目可能受到的影 ...
原文在這裡
概述
Go幫助開發人員檢測、評估和解決可能被攻擊者利用的錯誤或弱點。在幕後,Go團隊運行一個管道來整理關於漏洞的報告,這些報告存儲在Go漏洞資料庫中。各種庫和工具可以讀取和分析這些報告,以瞭解特定用戶項目可能受到的影響。這個功能集成到pkg.go.dev和一個新的命令行工具govulncheck中。
這個項目正在進行中,並且正在積極開發中。我們歡迎你的反饋,以幫助我們改進!
要報告Go項目中的漏洞,請參閱Go安全政策。
架構
Go漏洞管理架構
Go中的漏洞管理包括以下高級組件:
- 數據管道從各種來源收集漏洞信息,包括國家漏洞資料庫(NVD)、GitHub咨詢資料庫,以及直接從Go包維護者那裡獲得的信息。
- 使用數據管道的信息填充漏洞資料庫。資料庫中的所有報告都由Go安全團隊進行審查和整理。報告的格式採用開源漏洞(OSV)格式,並通過API訪問。
- 與pkg.go.dev和govulncheck的集成,使開發人員能夠在其項目中查找漏洞。govulncheck命令會分析你的代碼庫,並僅顯示真正影響你的漏洞,根據你的代碼中哪些函數傳遞調用了有漏洞的函數。govulncheck為你的項目提供了一種低噪音、可靠的方式來查找已知的漏洞。
資源
Go漏洞資料庫
Go漏洞資料庫包含來自許多現有來源的信息,除此之外還有直接報告給Go安全團隊的信息。資料庫中的每個條目都經過審查,以確保漏洞的描述、包和符號信息以及版本詳細信息的準確性。
有關Go漏洞資料庫的更多信息,請參閱go.dev/security/vuln/database,以及pkg.go.dev/vuln,以在你的瀏覽器中查看資料庫中的漏洞。
我們鼓勵包維護者貢獻有關其自己項目中公共漏洞的信息,並向我們發送減少阻力的建議。
Go漏洞檢測
Go的漏洞檢測旨在為Go用戶提供一種低噪音、可靠的方式,以瞭解可能影響其項目的已知漏洞。漏洞檢查集成在Go的工具和服務中,包括一個新的命令行工具govulncheck,Go包發現網站以及帶有Go擴展的主要編輯器(如VS Code)。
要開始使用govulncheck,請在你的項目中運行以下命令:
$ go install golang.org/x/vuln/cmd/govulncheck@latest
$ govulncheck ./...
要在你的編輯器中啟用漏洞檢測,請參閱編輯器集成頁面中的說明。
Go CNA
Go安全團隊是CVE編號機構。有關更多信息,請參閱go.dev/security/vuln/cna。
反饋
我們希望你能為以下方面做出貢獻,幫助我們進行改進:
聲明:本作品採用署名-非商業性使用-相同方式共用 4.0 國際 (CC BY-NC-SA 4.0)進行許可,使用時請註明出處。
Author: mengbin
blog: mengbin
Github: mengbin92
cnblogs: 戀水無意