Go 程式語言工具包包含追蹤庫中漏洞的功能。 為了檢查專案的依賴項中是否存在具有未修正漏洞的模組,建議使用「govulncheck」實用程序,該實用程式會分析專案程式碼庫並顯示有關對易受攻擊的功能的存取的報告。 此外,還準備了 vulncheck 包,它提供了一個 API,用於將檢查嵌入到各種項目和實用程式中。
檢查是使用專門創建的漏洞資料庫進行的,該資料庫由 Go 安全團隊監督。 該資料庫包含有關 Go 語言公開分發模組中已知漏洞的資訊。 數據是從各種來源收集的,包括 CVE 和 GHSA(GitHub 諮詢資料庫)報告,以及包維護者發送的資訊。 為了從資料庫請求數據,提供了庫、Web API 和 Web 介面。
來源: opennet.ru