五一快乐!Go 团队开始重视安全问题了

polaris · · 1836 次点击 · 开始浏览    置顶

大家好,我是站长 polarisxu。 明天就**五一**了,大家节日快乐!放假了,该玩玩,今天不发学习的内容!和大家分享一个 Go 团队的信息。 之前我分享过,如果 Go 遇到安全问题,会临时发布漏洞修复版本。一直以来,在安全方面,Go 相关的设施还是不太够。有一个组织 「JFrog」,提供了相关工具(Xray),能够扫描出各种语言的安全问题(之前用在线版,但目前貌似没有了,没找到)。 今天看到 rsc 前两天发了一条推文 ![rsc.png](https://static.studygolang.com/210430/fa61ff841279dbf61573c74fc575b379.png) Go Team 计划创建一个 Go 漏洞数据库,希望为 Go 开发人员提供低噪声,可靠的方式,以警告影响其应用程序的已知安全漏洞。 这个安全漏洞数据库,计划基于通用的 JSON 格式,方便静态分析工具做分析,也方便安全人员做研究,因为 JSON 不依赖具体语言。 目前创建了提案草案,计划在 Go 工具链增加相关的支持,比如:go audit。同时会考虑集成到 vscode-go 中,以及在 go.pkg.dev 中也会采用,这样大家可以更安全的使用第三方库,知晓它们有没有安全问题。 这里是关于这个方案的文档,大家可以参与讨论:<https://tinyurl.com/vuln-json>。 有这个这样的数据库和工具,相信安全问题会有更好的保障~

有疑问加站长微信联系(非本文作者)

入群交流(和以上内容无关):加入Go大咖交流群,或添加微信:liuxiaoyan-s 备注:入群;或加QQ群:701969077

1836 次点击  
加入收藏 微博
1 回复  |  直到 2021-05-05 20:48:19
暂无回复
添加一条新回复 (您需要 登录 后才能回复 没有账号 ?)
  • 请尽量让自己的回复能够对别人有帮助
  • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`
  • 支持 @ 本站用户;支持表情(输入 : 提示),见 Emoji cheat sheet
  • 图片支持拖拽、截图粘贴等方式上传