govulncheck

Valentsea
Total
0
Shares

หลายๆคนคงจะรู้อยู่แล้วว่า Go ได้นำเสนอตัว Go Vulnerability Check ออกมาเมื่อเดือน September 2022 แล้วก็คงมีคนได้ลองบ้างแล้ว วันนี้ก็เลยอยากจะเอาประเด็นน่าสนใจมาเล่าต่อเล็กน้อย เนื่องจากพอได้ลองใช้งานแล้วเห็น report ของมัน หน้าตาประมาณนี้

Image description

ซึ่งโดยปกติมันจะ scan ตัว code และ dependencies ของเราไปเทียบกับ database ที่ทางทีม Go Security Team ดูแลอยู่ แล้วมันจะบอกเราว่าให้ upgrade lib ที่มีปัญหาไปใช้ version ไหนดี

ตรงจุดนี้ เหมือนมาย้ำเตือนเราว่า อย่านิ่งนอนใจ อย่าปล่อยให้ Go version มันเก่า เพราะไม่ใช่ว่ามัน works แล้วจะปลอดภัย เพราะคุณกำลังอยู่กับช่องโหว่ที่เขาเจอกันมาตลอดทุกคืนที่คุณดองมันไว้

ถึงอย่างไรก็ดี เจ้า tools ตัวนี้มันยังไม่สมบูรณ์นะครับ ยังอยู่ในช่วงทดสอบ และพัฒนา แต่ก็สามารถใช้งานได้บ้าง เพราะฉะนั้น ยังควรใช้ tools ที่เราใช้กันอยู่เดิมร่วมด้วยไปก่อนเช่น gosec เป็นต้น

ข้อที่ยังไม่สมบูรณ์เท่าที่อ่านมาก็เช่น

  • scan ได้เฉพาะ go 1.18 ขึ้นไป
  • ถ้า upgrade go version ไปแล้ว มันจะไม่ย้อนไปเช็ค version ของ dependencies ที่อยู่ใน version ก่อนนี้ให้เช่น ถ้าเราไปใช้ 1.19 แล้ว แต่ lib เราเขียนด้วย 1.18 มันจะไม่เช็คให้ (ไม่แน่ใจว่าแก้ไขหรือยัง)

หวังว่าจะเป็นประโยชน์ครับ

Total
0
Shares

Leverage the richness of HTTP status codes

If you’re not a REST expert, you probably use the same HTTP codes over and over in your…

You May Also Like