Google, Govulncheck aracını ve ilişkili API’yi 1.0 sürümünde yayınladı. Go programlama dilindeki güvenlik açıkları için projeleri inceleyen araç bu nedenle kararlı olarak kabul edilir.
Duyuru
İlk olarak 2022 Sonbaharında piyasaya sürülen komut satırı aracı, bilinen güvenlik açıkları için projelerdeki bağımlılıkları tarar. Temel, genel Go modüllerindeki güvenlik açıklarını içeren Go Güvenlik Açığı Veritabanıdır. Güvenlik açığı bilgileri, Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) ve GitHub Güvenlik Önerileri (GHSA) gibi kamu güvenliği bilgilerinden, Go paketi koruyucuları tarafından sağlanan bilgilerden ve Go projesi için güvenlik düzeltmelerinden gelir.
Vuln.go.dev veritabanı, güvenlik açıklarının kayıtlarını içerir. Komut satırı aracı, Visual Studio Code uzantısı ve Go Package sayfası, güvenlik açıkları hakkında sizi uyarmak için bilgileri kullanır.
Yanlış pozitiflerden kaçınmak için Go’nun güvenlik ekibi veritabanıyla ilgilenir. JavaScript paket yöneticisi için npm con var npm audit sürüm 6.0’dan beri aynı zamanda güvenlik açıklarını kontrol etmek için bir komut, ancak en azından ilk günlerinde çok fazla yanlış alarm vermesiyle ünlüydü.
Komut satırı, API ve uzantı
Govulncheck, güvenlik açıkları olan bağımlılıklar için hem kod tabanını hem de derlenmiş ikili dosyaları tarayabilen bir komut satırı aracıdır. Bağımlılıklardan birinde bir güvenlik açığı varsa, araç, projenin etkilenen işlevi kullanıp kullanmadığını kontrol eder. Bu yanlış pozitiflerden kaçınmak içindir.
Govulncheck’e ek olarak, güvenlik tarayıcıları gibi harici araçlara entegrasyon için ilişkili API de kararlı sürüm 1.0’a ulaştı. Komutla aynı işlevselliği sağlar.
Duyuru
Yine Google tarafından 2022 sonbaharında duyurulan Visual Studio Code uzantısının şu anda 10 milyon yüklemesi var. Bir öğretici başlamanıza yardımcı olmalıdır.
Uzantı, proje bağımlılıklarındaki bilinen güvenlik açıklarının ayrıntılarını Visual Studio Code düzenleyicisinde görüntüler.
Doğrudan veritabanı erişimi için HTTP GET komutlarını çağırmak üzere doğrudan bir API de vardır. Ek olarak, Go ekibi Govulncheck için ekiplerin güvenlik açığı taramasını CI/CD (sürekli entegrasyon, sürekli teslim) işlemlerine entegre etmek için kullanabileceği, deneysel olarak işaretlenmiş bir GitHub eylemi sağlıyor.
Govulncheck, güvenlik açığı veritabanı ve API’ler hakkında daha fazla ayrıntı Go blogunda bulunabilir.
(rm)
Haberin Sonu
Duyuru
İlk olarak 2022 Sonbaharında piyasaya sürülen komut satırı aracı, bilinen güvenlik açıkları için projelerdeki bağımlılıkları tarar. Temel, genel Go modüllerindeki güvenlik açıklarını içeren Go Güvenlik Açığı Veritabanıdır. Güvenlik açığı bilgileri, Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) ve GitHub Güvenlik Önerileri (GHSA) gibi kamu güvenliği bilgilerinden, Go paketi koruyucuları tarafından sağlanan bilgilerden ve Go projesi için güvenlik düzeltmelerinden gelir.
Vuln.go.dev veritabanı, güvenlik açıklarının kayıtlarını içerir. Komut satırı aracı, Visual Studio Code uzantısı ve Go Package sayfası, güvenlik açıkları hakkında sizi uyarmak için bilgileri kullanır.
Yanlış pozitiflerden kaçınmak için Go’nun güvenlik ekibi veritabanıyla ilgilenir. JavaScript paket yöneticisi için npm con var npm audit sürüm 6.0’dan beri aynı zamanda güvenlik açıklarını kontrol etmek için bir komut, ancak en azından ilk günlerinde çok fazla yanlış alarm vermesiyle ünlüydü.
Komut satırı, API ve uzantı
Govulncheck, güvenlik açıkları olan bağımlılıklar için hem kod tabanını hem de derlenmiş ikili dosyaları tarayabilen bir komut satırı aracıdır. Bağımlılıklardan birinde bir güvenlik açığı varsa, araç, projenin etkilenen işlevi kullanıp kullanmadığını kontrol eder. Bu yanlış pozitiflerden kaçınmak içindir.
Govulncheck’e ek olarak, güvenlik tarayıcıları gibi harici araçlara entegrasyon için ilişkili API de kararlı sürüm 1.0’a ulaştı. Komutla aynı işlevselliği sağlar.
Duyuru
Yine Google tarafından 2022 sonbaharında duyurulan Visual Studio Code uzantısının şu anda 10 milyon yüklemesi var. Bir öğretici başlamanıza yardımcı olmalıdır.
Uzantı, proje bağımlılıklarındaki bilinen güvenlik açıklarının ayrıntılarını Visual Studio Code düzenleyicisinde görüntüler.
Doğrudan veritabanı erişimi için HTTP GET komutlarını çağırmak üzere doğrudan bir API de vardır. Ek olarak, Go ekibi Govulncheck için ekiplerin güvenlik açığı taramasını CI/CD (sürekli entegrasyon, sürekli teslim) işlemlerine entegre etmek için kullanabileceği, deneysel olarak işaretlenmiş bir GitHub eylemi sağlıyor.
Govulncheck, güvenlik açığı veritabanı ve API’ler hakkında daha fazla ayrıntı Go blogunda bulunabilir.
(rm)
Haberin Sonu