GoCenter用x射线揭示Go模块漏洞

更新:自2021年5月1日起，GoCenter中央存储库已被淘汰，所有功能已弃用。有关中心日落的更多信息，请阅读弃用博客文章

Golang开发人员非常关心安全性，随着Go模块的应用越来越广泛，他们需要更多的方法来确保这些公共共享文件的安全。

Golang 1.13版包含的一个独特特性是对Go模块的身份验证和安全性的预见性。WhEn开发人员创建一个新模块或现有模块的新版本，开始。其中包含的sum文件创建了该模块版本唯一的SHA-256哈希列表。那去。然后，sum文件被发送到Golang的官方校验和数据库，在那里存储它，并用于验证模块在稍后被访问时没有被篡改GOPROXY．这有助于保持包的完整性。

校验和身份验证功能有助于在开发人员之间建立信任，但它并不能完全防篡改。如果在原始模块的文件中引入了漏洞，那么GOSUMDB将只能指示该模块后来没有更改。这并不能解决恶意代码被引入的问题在第一次提交时．

幸运的是，GoCenter现在可以告诉你任何一个围棋模块什么时候存在已知的漏洞。我们带来了JFrog x光的安全扫描这是可靠的Go模块库为Golang开发者社区。

x射线DevSecOps的差异

JFrog x射线是DevSecOps工具依赖的一些最大的企业在世界上识别已知应用程序构建中的漏洞．当与Artifactory结合在一起时，它对存储库中保存的二进制文件执行深度递归扫描，以识别报告了安全弱点或恶意代码的开源组件被使用的任何地方。

x射线支持扫描多种语言和包类型。的最新版本x射线支持Go模块漏洞扫描这样，Golang应用程序就可以完全实现DevSecOps过程，以防止有风险的二进制文件从Artifactory部署到生产环境中。

x射线扫描GoCenter

我们现在也在GoCenter中引入了x射线的区别，这样GoCenter中的每个模块和版本都会自动扫描公共漏洞数据库(如NVD)中识别的已知漏洞。这些结果会存储在GoCenter中列出该模块版本中存在的所有漏洞。

当您登录到特定的模块页面时，如果security选项卡旁边存在一个警告三角形，您就会知道该模块版本中是否存在漏洞。单击选项卡或三角形将引导您进入安全页面，该页面提供关于每个漏洞的特定信息，包括CVE编号、严重程度和描述。

尝试一下，了解更多

x射线在Go Center只是一个子集x射线的全部功能！这种对所有二进制软件组件的通用分析为Go项目增加了额外的信任级别。通过扫描二进制组件和它们的元数据，通过所有级别的依赖关系，Xray提供了前所未有的可见性，可以发现隐藏在模块依赖关系中的问题。有关每个漏洞(包括补救步骤)的更详细信息，您需要签出完整版本的Xray，其中包括:

• 安全性和合规可视性多种技术(不仅仅是戈朗)
• 来自Risk Based Security的VulnDB数据
• IDE集成
• 开放集成和自动化
• 停止下载易受攻击的软件包
• x射线许可合规
• 影响分析图

与此同时，看看GoCenter，看看x射线能揭示什么。您可能会发现您已经在使用的模块存在您没有意识到的问题。帮助Golang软件更加安全是我们的对开源开发者社区的骄傲贡献．