Новый инструмент повысит безопасность проектов и повысит осведомленность разработчиков.

В язык Golang, разработанный Google, добавлена ​​поддержка управления уязвимостями, чтобы сохранить безопасность проектов разработчиков.

Команда разработчиков Go создала веб-сайт vuln.go.dev для размещения известных уязвимостей в пакетах, которые можно импортировать из общедоступных модулей Go. Уязвимости были отобраны и проверены командой безопасности Go на основе CVE, рекомендаций по безопасности GitHub и отчетов от сопровождающих.

Планируется, что это приведет к созданию высококачественной базы данных недостатков, потому что несущественные проблемы были отфильтрованы.

Go реализовал пакет govulncheck command , который в сочетании с vuln.go.dev служит «надежным способом для пользователей Go узнать об известных уязвимостях, которые могут повлиять на их проекты».

Также разработан связанный пакет vulncheck , который экспортирует функциональность govulncheck в виде Go API для интеграции с инструментами безопасности.

Ключевой функцией Govulncheck является то, что он анализирует вашу кодовую базу и выявляет только те уязвимости, которые действительно влияют на проект, основываясь на том, какие функции в вашем коде вызывают ошибку. Это означает меньшее количество ложных срабатываний.

В документации Go указано, что консервативный подход кода к вызову указателя функции и интерфейса «в некоторых случаях может привести к ложным срабатываниям или неточным стекам вызовов», среди прочих ограничений .

Источник: securitylab