В язык Golang, разработанный Google, добавлена поддержка управления уязвимостями, чтобы сохранить безопасность проектов разработчиков.
Команда разработчиков Go создала веб-сайт vuln.go.dev для размещения известных уязвимостей в пакетах, которые можно импортировать из общедоступных модулей Go. Уязвимости были отобраны и проверены командой безопасности Go на основе CVE, рекомендаций по безопасности GitHub и отчетов от сопровождающих.
Планируется, что это приведет к созданию высококачественной базы данных недостатков, потому что несущественные проблемы были отфильтрованы.
Go реализовал пакет govulncheck command , который в сочетании с vuln.go.dev служит «надежным способом для пользователей Go узнать об известных уязвимостях, которые могут повлиять на их проекты».
Также разработан связанный пакет vulncheck , который экспортирует функциональность govulncheck в виде Go API для интеграции с инструментами безопасности.
Ключевой функцией Govulncheck является то, что он анализирует вашу кодовую базу и выявляет только те уязвимости, которые действительно влияют на проект, основываясь на том, какие функции в вашем коде вызывают ошибку. Это означает меньшее количество ложных срабатываний.
В документации Go указано, что консервативный подход кода к вызову указателя функции и интерфейса «в некоторых случаях может привести к ложным срабатываниям или неточным стекам вызовов», среди прочих ограничений .
Источник: SecurityLab