Go 编程语言工具包包含跟踪库中漏洞的功能。 为了检查项目的依赖项中是否存在具有未纠正漏洞的模块,建议使用“govulncheck”实用程序,该实用程序会分析项目代码库并显示有关对易受攻击的功能的访问的报告。 此外,还准备了 vulncheck 包,它提供了一个 API,用于将检查嵌入到各种项目和实用程序中。
检查是使用专门创建的漏洞数据库进行的,该数据库由 Go 安全团队监督。 该数据库包含有关 Go 语言公开分发模块中已知漏洞的信息。 数据是从各种来源收集的,包括 CVE 和 GHSA(GitHub 咨询数据库)报告,以及包维护者发送的信息。 为了从数据库请求数据,提供了库、Web API 和 Web 界面。
来源: opennet.ru