Google lanzó la herramienta Govulncheck y su API asociada en la versión 1.0. Por lo tanto, la herramienta, que escanea proyectos en el lenguaje de programación Go en busca de vulnerabilidades, se considera estable.
anuncio
La herramienta de línea de comandos, presentada por primera vez en el otoño de 2022, analiza las dependencias de los proyectos en busca de vulnerabilidades conocidas. la base es Ir a la base de datos de vulnerabilidades, que contiene debilidades en los módulos generales de Go. La información sobre las vulnerabilidades proviene de la información de seguridad pública, como las vulnerabilidades y exposiciones de seguridad pública (CVE) y los avisos de seguridad de GitHub (GHSA), la información proporcionada por los mantenedores del paquete Go y las correcciones de seguridad para el proyecto Go.
La base de datos vuln.go.dev contiene registros de vulnerabilidades. La herramienta de línea de comandos, la extensión de Visual Studio Code y la página Go Package usan la información para advertir sobre vulnerabilidades.
Para evitar falsos positivos, el equipo de Go Security selecciona la base de datos. Para el administrador de paquetes de JavaScript, hay npm con npm audit Desde la versión 6.0 también mandaba a buscar vulnerabilidades, pero al menos en sus inicios tenía buena reputación Dar demasiados falsos positivos.
API de línea de comandos y extensión
Govulncheck es una herramienta de línea de comandos que puede escanear tanto su base de código como los binarios compilados en busca de vulnerabilidades. Si una dependencia tiene una vulnerabilidad, la herramienta verifica si el proyecto usa la funcionalidad afectada. Esto es para evitar falsos positivos.
Además de Govulncheck también API asociada Para integrarme en herramientas externas como escáneres de seguridad, he llegado a la versión estable 1.0. Proporciona la misma funcionalidad que el comando.
anuncio
el Extensión de código de Visual Studio, que Google también anunció en el otoño de 2022, ahora tiene 10 millones de instalaciones. a El tutorial debería ayudarlo a comenzar..
La extensión detalla las vulnerabilidades conocidas en las dependencias del proyecto en Visual Studio Code Editor.
Existe acceso directo a la base de datos. También una API sencilla Para conectarse a través de comandos HTTP GET. Además, el equipo de Go ofrece uno que está etiquetado como experimental. Acción de GitHub para Govulncheck Dispuesto a ayudar a los equipos a integrar el análisis de vulnerabilidades en los procesos de CI/CD (Integración continua, Entrega continua).
Se pueden encontrar más detalles sobre Govulncheck, su base de datos de vulnerabilidades y las API. Se pueden encontrar en el blog de Go..
(República de Macedonia)
“Nerd de la cerveza en general. Ninja independiente de las redes sociales. Aficionado al alcohol incurable. Propenso a ataques de apatía”.
More Stories
Lanzamiento de un nuevo juego de cartas coleccionables para Android e iOS
En retrospectiva en Apple: ya no hay MacBooks con 8GB de RAM
En lugar de la descripción general de audio NotebookLM de Google: Meta trae NotebookLlama