The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В инструментарий для языка Go добавлена возможность отслеживания уязвимостей в модулях

08.09.2022 14:11

В инструментарии для языка программирования Go реализована возможность отслеживания уязвимомостей в библиотеках. Для проверки своих проектов на наличие в зависимостях модулей с неисправленными уязвимостями предложена утилита "govulncheck", которая анализирует кодовую базу проекта и выводит отчёт об обращении к уязвимым функциям. Дополнительно подготовлен пакет vulncheck, предоставляющий API для встраивания проверки в различные проекты и утилиты.

Проверка осуществляется по специально созданной базе уязвимостей, которую курирует Go Security Team. В БД размещаются сведения об известных уязвимостях в публично распространяемых модулях на языке Go. Данные собираются из разных источников, в том числе из отчётов CVE и GHSA (GitHub Advisory Database), а также на основе информации, которую присылают сопровождающие пакетов. Для запроса данных из базы предлагается библиотека, Web API и web-интерфейс.

  1. Главная ссылка к новости (https://go.dev/blog/vuln...)
  2. OpenNews: Выпуск языка программирования Go 1.19
  3. OpenNews: Google представил сервис для наглядного отслеживания зависимостей
  4. OpenNews: Уязвимость в сетевых библиотеках языков Rust и Go, позволяющая обойти проверку IP-адресов
  5. OpenNews: Обновление рейтинга библиотек, требующих особой проверки безопасности
  6. OpenNews: На GitHub зафиксирована волна форков с вредоносными изменениями
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/57751-golang
Ключевые слова: golang
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (39) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 14:43, 08/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –10 +/
    Вот Гугл сейчас потренировался на Go выпускать языки программирования. И на скиллах выпустит новый быстрый и безопасный язык Карбон. И всё будет топово.  
     
     
  • 2.3, Аноним (3), 14:44, 08/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    быстрый, дерзкий...
     
     
  • 3.7, АнонимкаРастуимка (?), 14:50, 08/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    как раст?
     
     
  • 4.10, dullish (ok), 15:01, 08/09/2022 [^] [^^] [^^^] [ответить]  
  • +16 +/
    Премерзкий.
     
     
  • 5.55, Аноним (55), 12:34, 10/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Дурно коммерческий...
     
  • 2.23, Менеджер по поддержке иенеджера (?), 18:07, 08/09/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    у него пакетный репазиторий, как и у Go, будет через централизованный сервис. - будет DRM, как и у Go
     
     
  • 3.29, Аноним (29), 22:27, 08/09/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Опеннетовцы зрят в корень.
    Один только недостаток, не понимают смысла того на что значит, о чем пишут и что пишут.

    Какое отношение digital rights management имеет к репозиториию пакетов?

     
     
  • 4.30, Аноним (29), 22:28, 08/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    *смысла того на что зрят.
     
     
  • 5.31, Аноним (31), 22:31, 08/09/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Смысл в свободной среде разработке, если она имеется. Использовать анальные зонды - себч не уважать.
     
     
  • 6.33, Аноним (29), 22:34, 08/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы нейросеть которая составляет фразу из наиболее вероятных токенов?
     
     
  • 7.56, Аноним (55), 12:34, 10/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Или человек - из верных ощущений.
     
  • 4.43, Менеджер по поддержке иенеджера (?), 07:47, 09/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Какое отношение digital rights management имеет к репозиториию пакетов?

    такое, что например в Крыму, без Tor или VPN (которые запрещены) - ты получаешь 503 если пытаешься скачать что-то через 'go get'

     
     
  • 5.46, Менеджер по поддержке иенеджера (?), 08:00, 09/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Какое отношение digital rights management имеет к репозиториию пакетов?
    > такое, что например в Крыму, без Tor или VPN (которые запрещены) -
    > ты получаешь 503 если пытаешься скачать что-то через 'go get'

    *403

     
  • 5.48, Аноним (29), 08:05, 09/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Какое отношение digital rights management имеет к блокировке Крыма?
     
     
  • 6.49, Менеджер по поддержке иенеджера (?), 08:31, 09/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Какое отношение digital rights management имеет к блокировке Крыма?

    блокировка на уровне proxy.golang.org

     
  • 3.41, Брат Анон (ok), 07:43, 09/09/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Подтягиваю из гитхаба свою либу. Все норм. Централизованного репозитория не наблюдаю, контрольные суммы моих либ совпадают.

    ЧЯДНТ?!...

     
     
  • 4.45, Менеджер по поддержке иенеджера (?), 07:56, 09/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Подтягиваю из гитхаба свою либу. Все норм. Централизованного репозитория не наблюдаю, контрольные
    > суммы моих либ совпадают.
    > ЧЯДНТ?!...

    https://go.dev/doc/modules/managing-dependencies#proxy_server

    When you use Go tools to work with modules, the tools by default download modules from proxy.golang.org

     
     
  • 5.51, vasya (??), 11:42, 09/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  by default download modules from proxy.golang.org

    by default т.е. можно менять же черех переменные окружения

    * GOPROXY = redirects Go module download requests to repository:

    * GOPRIVATE = list of paths that must bypass GOPROXY and GOSUMDB and download private modules directly from those VCS repos = значение по-умолчанию для низкоуровневых переменных GONOPROXY и GONOSUMDB, которые обеспечивают более точный контроль над тем, какие модули выбираются через прокси и проверяются с использованием базы данных контрольной суммы.

    * GOSUMDB идентифицирует имя и, необязательно, открытый ключ и URL-адрес сервера базы данных для проверки контрольных сумм модулей, которые еще не перечислены в файле go.sum основного модуля.

     
     
  • 6.54, Менеджер по поддержке иенеджера (?), 00:53, 10/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>  by default download modules from proxy.golang.org

    да, можно менять. но если совсем отключить, то не будет проверки аутентичности, а Tor, как я сказал выше, в Крыму заблокирован.

     
  • 6.58, холоп (?), 17:44, 10/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Все это классно... а что уже выпустили до конца допиленный go modules proxy для self instance? Не всегда есть возможность с интернетов модули брать. Да и порочна эта практика.
     
     
  • 7.60, Брат Анон (ok), 08:45, 12/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Все это классно... а что уже выпустили до конца допиленный go modules
    > proxy для self instance? Не всегда есть возможность с интернетов модули
    > брать. Да и порочна эта практика.

    Из приватной репы (DMZ) тяну корпоративные либы. Из сети тащу общие либы. Всё работает. Даже по требованию могу SSL сертификат не проверять.
    ЧТЯДНТ?!...

     
  • 4.47, Менеджер по поддержке иенеджера (?), 08:02, 09/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Подтягиваю из гитхаба свою либу. Все норм. Централизованного репозитория не наблюдаю, контрольные
    > суммы моих либ совпадают.
    > ЧЯДНТ?!...

    и гитлаб тоже, сам по-себе отдаёт 403 в Крыму и proxy.golang.org отдаёт 403

     
     
  • 5.61, Брат Анон (ok), 08:47, 12/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >> Подтягиваю из гитхаба свою либу. Все норм. Централизованного репозитория не наблюдаю, контрольные
    >> суммы моих либ совпадают.
    >> ЧЯДНТ?!...
    > и гитлаб тоже, сам по-себе отдаёт 403 в Крыму и proxy.golang.org отдаёт
    > 403

    И чьи это проблемы? Го или компрадорской политики мордора? Вы ничего не перепутали?

     
  • 2.37, Аноним (37), 00:29, 09/09/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Cabron же
     

  • 1.11, Аноним (11), 15:08, 08/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А как же безопасность и нет косяков? А тут оказывается они прям списком... лучше в си https://m.youtube.com/watch?v=cdX8r3ZSzN4
     
     
  • 2.25, vcb (?), 19:54, 08/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://www.youtube.com/watch?v=1S1fISh-pag write in C ...
     
  • 2.26, vcb (?), 20:04, 08/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://www.youtube.com/watch?v=tas0O586t80 ;D
     
  • 2.32, Аноним (29), 22:31, 08/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Сколько бы не изобретали смузи-языки для недалёких людей, надёжности, простоты, удобства и стабильности ANSI C ни кому не удалось добиться
     
  • 2.42, Брат Анон (ok), 07:47, 09/09/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это про другой язык.

    В Го достаточно возможностей отстрелить себе ноги. Ибо это практический язык. А значит в нем достаточно инженерных компромиссов.

     

  • 1.20, Lex20 (ok), 16:58, 08/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Кроме gcc есть ещё нормальные компиляторы нормального языка? Кто чем компилит?
     
     
  • 2.24, Аноним (24), 18:13, 08/09/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Нас и gcc устраивает.
     

  • 1.27, мяя (?), 20:11, 08/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    https://github.com/securego/gosec
     
  • 1.28, Аноним (29), 22:21, 08/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    В npm это давно есть
     
     
  • 2.40, Аноним (29), 07:38, 09/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В npm проверки интегрированы в сам менеджер пакетов и запускаются сами например при установке
     

  • 1.39, аноним228 (?), 04:57, 09/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Не понимаю людей назывющих Go смузи-языком. Go - это макака-язык придуманный с одной целью - чтоб снизить издержки, чтоб инклюзивные персоны могли заменить того белого мужчину в свитере пишущего на JAVA и С++.
     
     
  • 2.44, Брат Анон (ok), 07:52, 09/09/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Нет. Go -- это язык решения оперативных задач в рамках интенсивного обмена данными в гетерогенной среде. Его инженерные компромиссы делают его на сколько гибким, на столько же и сложным. Внутренняя простота продиктована правилом "заткнись и пиши код". Это приводит к внешне сложным результатам.

    Если уж называть чем-то -- то точно не макака-язык. Он гораздо ближе к стилю "пайп-лего".


     
     
  • 3.53, vasya (??), 11:58, 09/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > -- то точно не макака-язык.

    Это 100% по сравнению с python ад-и-израиль

     
  • 2.52, vasya (??), 11:49, 09/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Пришел в GO из JAVA - он мне показался сложнее из-за другой реализации:
    потоков
    обработки ошибок и исключений (через defer, recover )
    наследования через композицию
    неявной реализации интерфейсов
    другой реализация рефлексии
    отсутсвию генериков (тут на замену надо как-раза в рефлексию или генерацию кода)
     
     
  • 3.57, Аноним (55), 12:38, 10/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И ещё он молодой. Со временем что-то добавится, отрихтуется.
    И если будет нормальная библиотека (куда чайники просто так не пишут), то может даже и отзывы будут хорошие.
     
  • 3.59, Аноним (59), 01:40, 11/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    генерики уже есть в go1.18, вышедшем в начале года
     

  • 1.50, Аноним (50), 08:33, 09/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Осталось найти уязвимости
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру