У мові програмування Go з’явилися корисні попередження щодо безпеки

Мова програмування Go з відкритим вихідним кодом, розроблена Google, додала підтримку керування вразливостями, пише The Register.

Команда Go нещодавно запустила вебсайт vuln.go.dev для розміщення добірки відомих вразливостей у пакетах, які можна імпортувати з публічних модулів Go. Ці вразливості відібрала й перевірила команда з безпеки Go на основі CVE, порад щодо безпеки GitHub і звітів супроводжувачів.

Імовірно, завдяки цьому база даних недоліків буде високоякісною, пише видання, оскільки несуттєві проблеми були відфільтровані. Але це більше, ніж вибірковість.

Члени команди описали підхід Go, який помітно відрізняється від, скажімо, способу, яким npm CLI GitHub обробляє вразливості в екосистемі JavaScript.

Ще у 2018 році, перед придбанням GitHub, npm представив команду з аудиту для пошуку та ідентифікації пакетів npm із відомими вразливостями в програмах, які покладаються на npm для керування пакетами.

Але використання аудиту npm виявилося проблематичним, оскільки воно засипало розробників помилковими сповіщеннями. Хоча відтоді у npm відбулися деякі покращення, схоже, що надмірні повідомлення про вразливості залишаються нерозв’язаним питанням.

Go натомість реалізував більш цілеспрямований підхід з командою govulncheck, яка разом з vuln.go.dev є «малошумним і надійним способом дізнатися про вразливості, що можуть впливати на проєкти».

Існує також пов’язаний пакет vulncheck, який експортує функції govulncheck як Go API для інтеграції з інструментами безпеки.

«Govulncheck аналізує вашу кодову базу та виявляє лише ті вразливості, які дійсно впливають на вас, виходячи з того, які функції у вашому коді транзитивно викликають уразливі функції», — сказали у команді Go.

У документації пояснюється, що govulncheck «використовує статичний аналіз вихідного коду або таблиці символів двійкових файлів, щоб звузити звіти лише до тих, які можуть вплинути на програму».

Ключовим моментом є попередження розробників лише про відповідні вразливості. Це означає, що буде менше помилкових тривог, хоча й не обов’язково повністю їх усуне.

Похожие статьи:
На YouTube-каналі DOU вийшов новий випуск Книжкового клубу — шоу для тих, хто ніяк не почне читати. Цього разу обговорюємо книгу «Розверніть...
Ранее мы уже писали о том, что компания Samsung готовит к выпуску новый смартфон Galaxy A9. А теперь о некоторых характеристиках данного...
Удень він працює в IT-компанії, а вночі — рятує людей. Ельдар Алієв веде «подвійне» життя і спить по кілька годин на день. Він...
Коаліція інвесторів та підприємців Darkstar стала повноцінним європейським венчурним фондом з фокусом виключно на військові...
Від пʼятниці, 16 серпня, український онлайн-банк Monobank зазнає DDoS-атак. Про це повідомляє співзасновник банку Олег...
Яндекс.Метрика