使用Visual Studio Code IDE自由走模块漏洞扫描

更新:自2021年5月1日起，GoCenter中央存储库已被淘汰，所有功能将被弃用。有关中心日落的更多信息，请阅读弃用博客文章

如果你是一名使用Visual Studio Code的Golang开发者，那么将高风险的Go模块排除在你的应用程序之外就变得更容易了，而且是免费的。

今天我们要宣布一个新版本的JFrog扩展VS Code IDE，可免费下载。的丰富元数据，这种集成将您正在使用的每个公共Go模块的实时漏洞信息直接带入源代码编辑器JFrog GoCenter．这意味着你可以意识到开源Go模块的潜在风险，甚至在你第一次构建之前就可以做出更好的选择。

GoCenter的Go模块功能

GoCenter是公共的Go模块的GOPROXY由JFrog提供给不断壮大的Golang开发者的免费社区服务。自去年推出以来，GoCenter已经发展成为一个包含约70万个不可变版本的Go模块的综合存储库，供公众使用。世界各地的开发人员使用GoCenter作为他们的GOPROXY获得对Go依赖项的控制权和使Golang构建更快．

GoCenter还通过存储关于每个Go模块的元数据来授权Golang开发人员，可通过可浏览的UI使用。用户可以搜索GoCenter的目录，并查看任何模块和版本的使用信息和统计信息。

随着Golang的发展，安全问题也在增加，因此JFrog将GoCenter变成了一个更加关注安全的中央存储库。GoCenter的元数据现在包括每个Go Module版本的漏洞信息，通过深度递归扫描JFrog x射线。

DevSecOps To Go

VS Code已经成为许多Golang编码员的首选源代码编辑器，包括我们在JFrog的一些开发人员。这是其中之一针对流行ide的JFrog集成提供给JFrog Xray的客户，使开源依赖的风险对开发人员更明显，并有助于左移安全警惕。

为了帮助我们完成使软件开发和交付更快、更安全、更可靠的使命，我们将VS Code扩展提升到了一个新的水平。通过利用GoCenter中提供的Go模块漏洞数据，VS Code用户可以从中受益——即使没有Xray的许可实例。

扩展安装后，你可以在VS Code中看到所有这些信息，同时将鼠标悬停在模块上go.mod文件。

VS Code IDE不仅为你的直接模块依赖显示这些信息。您还可以在层次树视图中看到间接的(传递的)依赖关系。

的模块中跳转go.mod的树视图，并从树到模块定义执行相同的操作go.mod．

您还可以直接导航到GoCenter的UI，并在Security选项卡下查看关于该模块的更多信息。

GOPROXY及其他

我们希望你会喜欢这个新功能JFrog VS Code Extension，它有助于显示使用GoCenter作为GOPROXY的价值。随着Go模块生态系统的加速增长，洞察你所使用的依赖关系变得越来越重要。

的控件启用相同的控件后，您可能还想考虑为控件启用相同的控件你在VS Code中使用的其他语言欢迎给JFrog x射线一个免费试用，看看它能做什么揭示许多包装中的风险比如Maven, Gradle, npm, NuGet, RubyGems和PHP Composer。Xray还可以识别与您组织的许可策略不匹配的依赖项。

我们正在非常努力地为围棋社区创造更多的价值，我们很自豪能成为其中的一员。该扩展是开源的，GoCenter是为社区免费构建的，所以欢迎您加入我们并做出贡献反馈对这个项目。