管理漏洞有哪些 21434漏洞管理 _生活經驗

【管理漏洞有哪些 21434漏洞管理】近年來針對軟件供應鏈的安全問題越來越突出，從之前的語言模塊投毒的，最近PyPI
遠程執行漏洞，還有今年年初的Java 基礎日志庫Log4j 安全漏洞都充分展現了這個問題。為了應付這個問題， Golang新推出了漏洞管理支持，用來幫助Golang開發人員了解已知漏洞和解決供應鏈安全威脅。本文我們就來介紹一下Golang漏洞管理機制。

文章插圖
概述Go最新推出了漏洞管理工具來分析代碼庫和發現依賴庫中已知的漏洞。工具由Go 漏洞數據庫提供支持，由Go 安全團隊維護。Go 的工具僅通過暴露漏洞，解決代碼和依賴供應鏈中存在的安全問題，整個架構如下圖所示：

文章插圖
Go漏洞數據庫Go 漏洞數據庫( vuln.go.dev ) 是一個漏洞綜合資源庫，記錄了Golang 公共模塊中已知漏洞的信息。
漏洞數據收集了現有公共漏洞數據庫（例如CVE 和GHSA）的數據以及來自Go包維護者的直接上報報的信息，以及通過go項目中安全補丁包的發布的信息。
所有以上的數據有Go 安全團隊會審查并將其添加到數據庫中。
Golang官方鼓勵各個包維護者積極響應安全問題，并能及時報告自己項目中的公共漏洞的信息和機器漏洞更新的信息。
所有漏洞數據信息都可以通過瀏覽器中在pkg.go.dev/vuln公開瀏覽。

文章插圖
govulncheck ：漏洞檢測新推出的govulncheck 命令行工具用來幫助Go 開發者用戶了解其項目和依賴的保重已知漏洞的可靠方法。govulncheck 會自動分析代碼庫并僅顯示代碼和軟件供應鏈的安全情況，基于代碼中的正在傳遞調用函數和易受攻擊的函數。
可以在項目通過運行以下命令安裝和使用govulncheck：
go install golang.org/x/vuln/cmd/govulncheck@latest
govulncheck ./…
目前Govulncheck是一個頻繁更新和快速迭代的獨立工具，未來有可能計劃將govulncheck 工具集成到Go 發行版中。
將漏洞檢查直接集成到其他工具和流程中，可以使用vulncheck 包導出govulncheck的檢查結果，并作為Golang API 的功能。
集成盡早了解漏洞總是更好是在開發和部署過程中。為此，將漏洞檢測集成到現有的Golang工具和服務中，例如Go 包搜索站。
例如，在golang.org/x/text顯示每個版本的中的已知漏洞。通過VS Code Go 擴展的漏洞檢查功能也即將推出。

文章插圖