У мові програмування Go з’явилися корисні попередження щодо безпеки

Мова програмування Go з відкритим вихідним кодом, розроблена Google, додала підтримку керування вразливостями, пише The Register.

Команда Go нещодавно запустила вебсайт vuln.go.dev для розміщення добірки відомих вразливостей у пакетах, які можна імпортувати з публічних модулів Go. Ці вразливості відібрала й перевірила команда з безпеки Go на основі CVE, порад щодо безпеки GitHub і звітів супроводжувачів.

Імовірно, завдяки цьому база даних недоліків буде високоякісною, пише видання, оскільки несуттєві проблеми були відфільтровані. Але це більше, ніж вибірковість.

Члени команди описали підхід Go, який помітно відрізняється від, скажімо, способу, яким npm CLI GitHub обробляє вразливості в екосистемі JavaScript.

Ще у 2018 році, перед придбанням GitHub, npm представив команду з аудиту для пошуку та ідентифікації пакетів npm із відомими вразливостями в програмах, які покладаються на npm для керування пакетами.

Але використання аудиту npm виявилося проблематичним, оскільки воно засипало розробників помилковими сповіщеннями. Хоча відтоді у npm відбулися деякі покращення, схоже, що надмірні повідомлення про вразливості залишаються нерозв’язаним питанням.

Go натомість реалізував більш цілеспрямований підхід з командою govulncheck, яка разом з vuln.go.dev є «малошумним і надійним способом дізнатися про вразливості, що можуть впливати на проєкти».

Існує також пов’язаний пакет vulncheck, який експортує функції govulncheck як Go API для інтеграції з інструментами безпеки.

«Govulncheck аналізує вашу кодову базу та виявляє лише ті вразливості, які дійсно впливають на вас, виходячи з того, які функції у вашому коді транзитивно викликають уразливі функції», — сказали у команді Go.

У документації пояснюється, що govulncheck «використовує статичний аналіз вихідного коду або таблиці символів двійкових файлів, щоб звузити звіти лише до тих, які можуть вплинути на програму».

Ключовим моментом є попередження розробників лише про відповідні вразливості. Це означає, що буде менше помилкових тривог, хоча й не обов’язково повністю їх усуне.

Похожие статьи:
Stack Overflow у взаємодії з Kiwix впроваджує функцію офлайн-доступу до репозиторія, щоб забезпечити доступ для тих, хто перебуває в місцях...
Вітаю, колеги. Мене звати Андрій Трубіцин, я співпрацюю з ЕРАМ у ролі Senior Solution Architect. Мої робочі завдання передбачають...
У свіжому випуску новинного дайджесту DOU News обговорюємо застосунок «Дія», який стане open-source продуктом, зарплати...
Упродовж останнього року більшість компаній намагалися повною мірою виконувати свої фінансові зобов’язання...
Готовиться к полету в космос Сергей Якимов, уроженец Житомира, начал давно. Прежде всего, решил получить...
Яндекс.Метрика