Go 安全团队宣布新命令 govulncheck，用于检测漏洞-一鸣资源网

Go 安全团队宣布新命令 govulncheck，用于检测漏洞

出品|开源中国

Go 安全团队宣布了管理漏洞的新项目 —— 用于帮助 Go 开发者了解可能会影响他们的已知漏洞。

该项目由三部分构成：

漏洞数据源 (Data Sources)

Go 漏洞数据库 (Go Vulnerability Database)

工具和集成 (Tools & Integrations)

Go 漏洞数据库 (https://vuln.go.dev) 是一个综合性的信息源，其中包含公共 Go module 中可导入包的已知漏洞。这些漏洞数据的上游也有其来源，例如 CVE 和 GHSA，以及 Go 软件包维护者的直接报告。Go 安全团队获取到这些数据后会进行审查，并将其添加到数据库中。

任何人可直接访问 https://pkg.go.dev/vuln/ 查看 Go 漏洞数据库。有关该数据库的更多信息，查看 go.dev/security/vuln/database。

新的 govulncheck 命令让 Go 开发者能够了解可能影响其项目的已知漏洞。govulncheck 通过分析代码库，并仅根据代码中的哪些函数传递调用易受攻击的函数来发现实际影响的漏洞。要开始使用 govulncheck，先运行以下命令：

$?go?install?golang.org/x/vuln/cmd/govulncheck@latest$?govulncheck?./…

govulncheck 是一个独立的工具，团队未来计划将该工具集成到主要的 Go 发行版中。目前，Go 安全团队已将漏洞检测功能集成到现有的 Go 工具和服务中，例如 Go package discovery site，以及像下面这样的页面，显示了 golang.org/x/text 每个版本中的已知漏洞。

最后，VS Code Go 扩展的漏洞检测功能也即将推出。

文章版权声明 1、本网站名称：一鸣资源网
2、本站永久网址：https://yiming818.com
3、本网站的文章部分内容可能来源于网络，仅供大家学习与参考，如有侵权，请联系站长QQ108898998进行删除处理。
4、本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。
5、本站一律禁止以任何方式发布或转载任何违法的相关信息，访客发现请向站长举报
6、本站资源大多存储在云盘，如发现链接失效，请联系我们我们会第一时间更新。

THE END