Das Toolkit der Programmiersprache Go bietet die Möglichkeit, Schwachstellen in Bibliotheken zu verfolgen. Um Ihre Projekte auf das Vorhandensein von Modulen mit nicht korrigierten Schwachstellen in ihren Abhängigkeiten zu überprüfen, wird das Dienstprogramm „govulncheck“ vorgeschlagen, das die Codebasis des Projekts analysiert und einen Bericht über den Zugriff auf anfällige Funktionen anzeigt. Darüber hinaus wurde das vulncheck-Paket vorbereitet, das eine API zum Einbetten von Prüfungen in verschiedene Projekte und Dienstprogramme bereitstellt.
Die Prüfung erfolgt mithilfe einer eigens erstellten Schwachstellendatenbank, die vom Go Security Team betreut wird. Die Datenbank enthält Informationen über bekannte Schwachstellen in öffentlich verteilten Modulen in der Go-Sprache. Die Daten werden aus verschiedenen Quellen gesammelt, darunter CVE- und GHSA-Berichte (GitHub Advisory Database) sowie von Paketbetreuern gesendete Informationen. Um Daten aus der Datenbank anzufordern, werden eine Bibliothek, eine Web-API und ein Webinterface angeboten.
Source: opennet.ru