Go プログラミング言語ツールキットには、ライブラリの脆弱性を追跡する機能が含まれています。 依存関係に修正されていない脆弱性を持つモジュールがプロジェクトに存在するかどうかをプロジェクトでチェックするために、プロジェクトのコード ベースを分析し、脆弱な機能へのアクセスに関するレポートを表示する「govulncheck」ユーティリティが提案されています。 さらに、さまざまなプロジェクトやユーティリティにチェックを埋め込むための API を提供する vulncheck パッケージが用意されています。
チェックは、Go セキュリティ チームが監督する特別に作成された脆弱性データベースを使用して実行されます。 データベースには、Go 言語の公的に配布されたモジュールの既知の脆弱性に関する情報が含まれています。 データは、CVE レポートや GHSA (GitHub Advisory Database) レポート、パッケージ管理者から送信された情報など、さまざまなソースから収集されます。 データベースにデータをリクエストするために、ライブラリ、Web API、および Web インターフェイスが提供されます。
出所: オープンネット.ru