Go 宣布新的漏洞管理支持方案

近日，Go 安全团队宣布将迎来新的漏洞管理支持方案，这将成为 Go 团队帮助开发者了解已知漏洞、明确相关影响的第一步。

据介绍，Go 将提供新的工具选项，用于分析代码库并发现其中的已知漏洞。该工具基于 Go 安全团队策划的 Go 漏洞数据库，能够仅显示代码实际调用的函数中存在哪些漏洞，借此降低提示理解难度。

其中，Go漏洞数据库是一个综合信息源，囊括了公共 Go 模块中各导入包内的已知漏洞。漏洞数据采集自现有来源（例如 CVE 和 GHSA），以及 Go 包维护者的直接上报。Go 安全团队会以此为基础审查相关信息，并将可靠结果添加至数据库中。

新发布的govulncheck命令能够帮助 Go 开发者了解可能影响其项目的已知漏洞。Govulncheck 会分析代码库，并根据代码所调用的函数来判断是否存在漏洞。要开始使用 govulncheck，开发者可以在项目当中运行以下命令：

$ go install golang.org/x/vuln/cmd/govulncheck@latest$ govulncheck ./...

从长远来看，团队计划将 govulncheck 工具集集成至各主要 Go 发行版中。

在开发和部署过程中，能尽早了解漏洞信息固然是件好事。为此，团队将漏洞检测集成到现有 Go 工具和服务中，例如 Go 包发现网站。页面中会显示 golang.org/x/text 各个版本中的已知漏洞。后续还将通过 VS Code Go 扩展推出漏洞检查功能。

最后，Go 安全团队还提示，Go 的漏洞管理支持是一项正在积极开发的新功能，因此还有不少 bug 和限制。希望大家能积极发送问题反馈一同改善。

参考链接：

https://go.dev/blog/vuln