У мові програмування Go з’явилися корисні попередження щодо безпеки
Мова програмування Go з відкритим вихідним кодом, розроблена Google, додала підтримку керування вразливостями, пише The Register.
Команда Go нещодавно запустила вебсайт vuln.go.dev для розміщення добірки відомих вразливостей у пакетах, які можна імпортувати з публічних модулів Go. Ці вразливості відібрала й перевірила команда з безпеки Go на основі CVE, порад щодо безпеки GitHub і звітів супроводжувачів.
Імовірно, завдяки цьому база даних недоліків буде високоякісною, пише видання, оскільки несуттєві проблеми були відфільтровані. Але це більше, ніж вибірковість.
Члени команди описали підхід Go, який помітно відрізняється від, скажімо, способу, яким npm CLI GitHub обробляє вразливості в екосистемі JavaScript.
Ще у 2018 році, перед придбанням GitHub, npm представив команду з аудиту для пошуку та ідентифікації пакетів npm із відомими вразливостями в програмах, які покладаються на npm для керування пакетами.
Але використання аудиту npm виявилося проблематичним, оскільки воно засипало розробників помилковими сповіщеннями. Хоча відтоді у npm відбулися деякі покращення, схоже, що надмірні повідомлення про вразливості залишаються нерозв’язаним питанням.
Go натомість реалізував більш цілеспрямований підхід з командою govulncheck, яка разом з vuln.go.dev є «малошумним і надійним способом дізнатися про вразливості, що можуть впливати на проєкти».
Існує також пов’язаний пакет vulncheck, який експортує функції govulncheck як Go API для інтеграції з інструментами безпеки.
«Govulncheck аналізує вашу кодову базу та виявляє лише ті вразливості, які дійсно впливають на вас, виходячи з того, які функції у вашому коді транзитивно викликають уразливі функції», — сказали у команді Go.
У документації пояснюється, що govulncheck «використовує статичний аналіз вихідного коду або таблиці символів двійкових файлів, щоб звузити звіти лише до тих, які можуть вплинути на програму».
Ключовим моментом є попередження розробників лише про відповідні вразливості. Це означає, що буде менше помилкових тривог, хоча й не обов’язково повністю їх усуне.