米Googleの、プログラミング言語Goの開発チームは、Go開発者が影響を受ける可能性のある、既知の脆弱性について学べるようにする、脆弱性管理に対する新たなサポートを9月6日(現地時間)に発表した。
今回発表された、Go言語における脆弱性管理の一環として、コードベースを分析して既知の脆弱性を明らかにするツールが提供される。同ツールは、Go言語のセキュリティチームによってキュレーションされた「Go脆弱性データベース」によって支えられ、コードが実際に呼び出している関数の脆弱性のみを表示することで、結果に含まれるノイズを減らす。
「Go脆弱性データベース」は、パブリックGoモジュールのインポートが可能なパッケージにおける、既知の脆弱性に関する包括的な情報源であり、CVEやGHSAといった既存の情報源と、Goパッケージメンテナからの直接の報告に基づき、Goセキュリティチームによる確認を経て脆弱性に関する情報がデータベースに追加される。
また開発チームは、パッケージのメンテナに対して、自身のプロジェクトで公開している脆弱性に関する情報を提供し、Goパッケージの脆弱性に関する既存の情報を更新することを求めている。
あわせて、Goユーザーがプロジェクトに影響を与える可能性のある既知の脆弱性について確認できる、govulncheckが新たに提供された。govulncheckコマンドはコードベースを分析し、コード内のどの関数が脆弱な関数を推移的に呼び出しているかに基づいて、実際に影響を与える脆弱性のみを明らかにする。
同コマンドは、ユーザーからのフィードバックを収集しつつ、頻繁な更新と迅速な反復を可能にするスタンドアロンツールであり、長期的にはメインのGoディストリビューションへの統合を予定している。また、脆弱性チェックを他のツールやプロセスに直接統合すべく、vulncheckパッケージはgovulncheckの機能をGo APIとしてエクスポートする。
そのほか、開発およびデプロイプロセスのできるだけ早い段階で脆弱性について知るために、脆弱性検出を既存のGoツールや、Goパッケージ検索サイトなどのサービスに統合した。さらに、Visual Studio Code向けのGo拡張機能への、脆弱性チェック機能の追加も近日中に行われる予定となっている。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
