Fuzzing Test
和 Unit Testing
,那我們來簡單帶一下 Go
的漏洞風險管理Q : 為甚麼要有這個東西
A : 因為開發團隊希望開發者能透過這個東西知道存在的漏洞可能會影響到他們的系統或程式
Source Code
裡有沒有存在已知漏洞,避免出現像是 PHP 這種世界上最好語言的情況
,因為能在 develop process 的階段發現並除掉是最好的NVD
或者 CVEs
......,只要有新的漏洞出現, 就會通知 Go 的 Security Team ,然後他們就會去 Review 並把他加進目前的 Go 的弱點資料庫
擷取自 Go 官網
govulncheck
,可以透過 go install
下載來用// 下載 govulncheck
go install golang.org/x/vuln/cmd/govulncheck@latest
// 確認目前程式有沒有存在漏洞
govulncheck .
govulncheck is an experimental tool. Share feedback at https://go.dev/s/govulncheck-feedback.
Scanning for dependencies with known vulnerabilities...
No vulnerabilities found.
main.go:[line]:[column]: mypackage.main calls golang.org/x/text/language.Parse
binary
govulncheck $HOME/go/bin/your-binary
main distribution
VSCode Extension
也會在最近推出(應該也是開發者最想看到的從這裡可以看到歷年 Go 的漏洞 Vuln Every Year in Go