govulncheck
همانطور که ممکن است بسیاری از شما قبلاً بدانید، Go بررسی آسیبپذیری Go را در سپتامبر 2022 معرفی کرد و برخی از افراد قبلاً آن را امتحان کردهاند. بنابراین امروز، من می خواهم یک موضوع جالب را به اشتراک بگذارم. چون وقتی امتحانش کردم و گزارشش رو دیدم اینجوری شد.
معمولاً کد و وابستگیهای ما را در برابر پایگاه داده نگهداری شده توسط تیم Go Security اسکن میکند و به ما میگوید که lib آسیبدیده را به کدام نسخه ارتقا دهیم.
در این مرحله، به نظر می رسد که به ما یادآوری می کند راضی نباشید، اجازه ندهید نسخه Go قدیمی شود، به این معنی نیست که کار می کند و ایمن است. چون تو با روزنهای زندگی میکنی که او هر شبی که دوستش میداری پیدا میکند
با این حال، این ابزار هنوز ناقص است. هنوز در مرحله آزمایش و توسعه است، اما می توان از آن به روش هایی استفاده کرد، بنابراین بهتر است از ابزارهایی که قبلا استفاده می کردیم مانند gosec و غیره استفاده کنید.
ابیاتی که تا جایی که من خوانده ام ناقص است
- اسکن فقط می تواند 1.18 و بالاتر باشد
- اگر ورژن go ارتقا پیدا کرده باشه برنمیگرده و نسخه وابستگی هایی که در ورژن قبلی بوده رو چک میکنه مثلا اگه از 1.19 استفاده کنیم ولی lib که تو 1.18 نوشتیم چک نمیکنه. (مطمئن نیستم درست شده یا نه)
امیدوارم مفید باشه