GoCenter用Xray揭示Go模块漏洞

更新:截至2021年5月1日，GoCenter中央存储库已经关闭，所有功能都已弃用。有关中心日落的更多信息，请阅读弃用博客文章

Go语言开发人员非常关心安全性，随着Go语言模块的广泛使用，他们需要更多的方法来确保这些公开共享文件的安全。

Golang 1.13版本中包含的一个独特特性是对Go模块的身份验证和安全性的预见。Wh当开发人员创建一个新模块或一个现有模块的新版本时，立即开始。其中包含的sum文件创建该模块版本唯一的SHA-256哈希列表。那去。然后将checksum文件发送到Golang的官方checksum数据库，该数据库存储该文件，并用于验证模块在稍后被GOPROXY。这有助于保持包的完整性。

校验和身份验证功能有助于在开发人员之间建立信任，但它不是完全防篡改的。如果在原始模块的文件中引入了漏洞，GOSUMDB将只能指示该模块后来没有更改。这并不能解决引入恶意代码的问题在第一次提交时。

幸运的是，GoCenter现在可以告诉你任何Go模块何时有已知漏洞。我们带来了JFrog x光的安全扫描这是可靠的Go语言模块库为Golang开发者社区。

x射线DevSecOps差异

JFrog x射线是DevSecOps工具所依赖的一些最大的企业在世界上识别已知应用程序构建中的漏洞。当与Artifactory结合时，它会对存储库中的二进制文件执行深度递归扫描，以识别报告存在安全漏洞或恶意代码的开放源代码组件被使用的任何地方。

Xray支持扫描多种语言和包类型。的最新版本Xray支持Go模块的漏洞扫描以便Golang应用程序可以完全实现DevSecOps过程，以防止将有风险的二进制文件从Artifactory部署到生产环境中。

x射线扫描GoCenter

我们现在将x射线的差异也引入了GoCenter，这样GoCenter中的每个模块和版本都会自动扫描在公共漏洞数据库(如NVD)中识别的已知漏洞。这些结果存储在GoCenter中，它将列出模块版本中存在的所有漏洞。

当您进入特定模块页面时，如果安全选项卡旁边存在一个警告三角形，您就会知道该模块版本中是否存在漏洞。单击选项卡或三角形将引导您进入安全页面，该页面提供有关每个漏洞的特定信息，包括CVE编号、严重性和描述。

尝试一下，了解更多

x射线在围棋中心只是一个子集x射线的全部功能！这种对所有二进制软件组件的通用分析为Go项目增加了额外的信任。通过扫描二进制组件及其元数据，通过所有级别的依赖关系，Xray提供了前所未有的可见性，可以发现隐藏在模块依赖关系中的问题。有关每个漏洞(包括修复步骤)的更详细信息，您需要检查Xray的完整版本，其中包括:

• 安全性和遵从性可见性多种技术(不只是Golang)
• 来自基于风险的安全的VulnDB数据
• IDE集成
• 开放集成和自动化
• 停止下载易受攻击的软件包
• Xray for License Compliance
• 影响分析图

与此同时，看看GoCenter，看看x射线能揭示什么。您可能会发现您已经在使用的模块存在您没有意识到的问题。帮助Golang软件变得更加安全是我们的使命对开源开发者社区的骄傲贡献。