ทางทีมพัฒนา Go ได้ปล่อย Go Vulnerability Management ออกมาเมื่อปลายปี 2022
ซึ่งมีเป้าหมายเพื่อตรวจสอบความปลอดภัยของ code
ที่เขียนด้วยภาษา Go รวมทั้ง 3-party library ต่าง ๆ
ว่าอาจจะเสี่ยงหรือมีช่องโหว่ในการโจมตีหรือไม่
โดยได้ปล่อย CLI tool ทซึ่งเป็น opensource มาให้ใช้งาน
ชื่อว่า vulncheck
โดยเบื้องหลังการทำงานของ vulncheck นั้น
จะทำการดึงข้อมูลจาก Go Vulnerability Database มาเพื่อใช้ตรวจสอบ
ซึ่งจะถูกดูแลและจัดการข้อมูล จากทางทีมของ Go นั่นเอง
นำข้อมูลจากทั้งภายใน
ข้อมูลจาก National Vulnerability Database
ข้อมูลจาก GitHub Advisory Database
ดังนั้นน่าจะทำให้มีความน่าเชื่อมากยิ่งขึ้น
อีกทั้งยังง่ายต่อการ integrate เข้ากับขั้นตอนในการพัฒนาและส่งมอบระบบงาน
แสดงดังรูป
มาดูการใช้งานกันบ้าง
ใช้ง่ายมาก ๆ คือ
$go install golang.org/x/vuln/cmd/govulncheck@latest $govulncheck ./...
จะได้ผลลัพธ์การ scan ออกมาแบบง่าย ๆ
ลองใช้งานกันดูครับ