Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Security: Schwachstellen-Scanner für Google Go geht an den Start

Das Tool Govulncheck untersucht Go-Projekte auf bekannte Schwachstellen in den Dependencies. Eine Extension integriert die Überprüfung in Visual Studio Code.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen

(Bild: Sashkin/Shutterstock.com)

Lesezeit: 2 Min.
Developer
Von

Google hat das Tool Govulncheck und die zugehörige API in Version 1.0 veröffentlicht. Damit gilt das Tool, das Projekte in der Programmiersprache Go auf Schwachstellen untersucht, als stabil.

Das erstmals im Herbst 2022 vorgestellte Kommandozeilentool untersucht die Dependencies in Projekten auf bekannte Schwachstellen. Als Grundlage dient die Go Vulnerability Database, die Schwachstellen zu öffentlichen Go-Modulen enthält. Die Informationen zu den Schwachstellen stammen aus öffentlichen Security-Informationen wie den Common Vulnerabilities und Exposures (CVE) und den GitHub Security Advisories (GHSA), den Angaben der Maintainer von Go-Paketen sowie den Security-Fixes für das Go-Projekt.

Die Datenbank vuln.go.dev enthält die Einträge über Schwachstellen. Das Kommandozeilentool, die Extension für Visual Studio Code und die Go-Package-Seite nutzen die Informationen zum Warnen vor Vulnerabilities.

Um False Positives zu vermeiden, kuratiert das Go-Security-Team die Datenbank. Für den JavaScript-Paketmanager npm existiert mit npm audit seit Version 6.0 ebenfalls ein Befehl zum Prüfen auf Schwachstellen, der aber zumindest in seinen Anfangszeiten in dem Ruf stand, deutlich zu viele Fehlalarme zu liefern.

Kommandozeile, API und Extension

Govulncheck ist ein Kommandozeilentool, das sowohl die Codebase als auch kompilierte Binaries nach Dependencies mit Schwachstellen untersuchen kann. Wenn eine der Abhängigkeiten eine Schwachstelle aufweist, prüft das Tool, ob das Projekt die betroffene Funktion nutzt. Damit soll es False Positives verhindern.

Neben Govulncheck hat auch die zugehörige API zum Integrieren in externe Werkzeuge wie Security-Scanner den stabilen Versionsstand 1.0 erreicht. Sie bietet dieselben Funktionen wie der Befehl.

Die Extension für Visual Studio Code, die Google ebenfalls im Herbst 2022 angekündigt hatte, kommt inzwischen auf gut 10 Millionen Installationen. Ein Tutorial soll beim Einstieg helfen.

Die Extension zeigt Details zu bekannten Schwachstellen in Projekt-Dependencies im Editor von Visual Studio Code.

Für den direkten Zugriff auf die Datenbank existiert ebenfalls eine direkte API zum Aufruf über HTTP-GET-Befehle. Außerdem stellt das Go-Team eine als experimentell gekennzeichnete GitHub Action für Govulncheck bereit, mit der Teams die Untersuchung auf Schwachstellen in CI/CD-Abläufe (Continuous Integration, Continuous Delivery) integrieren können.

Weitere Details zu Govulncheck, der Vulnerability Database und den APIs lassen sich dem Go-Blog entnehmen.

(rme)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten