Eine Schwachstellen-Datenbank sowie ein Werkzeug zur Überprüfung von Projekten auf bekannte Schwachstellen wurden von Google für die Programmiersprache Go veröffentlicht. Das Go-Security-Team sei für die Pflege der Datenbank verantwortlich.

Informationen zu den Schwachstellen beziehe das Team unter anderem aus den Common Vulnerabilities und Exposures (CVE), den GitHub Security Advisories (GHSA), aus Angaben der Maintainer von Go-Paketen und schließlich den Security-Fixes für das Go-Projekt. Auf einer GitHub-Issue-Seite sollen Maintainer Schwachstellen einpflegen können.

Die Datenbank werde von einem neuen Befehl govulncheck verwendet, um gefährliche Schwachstellen in Projekten zu identifizieren. Die Codebasis werde dazu auf transitive Aufrufe von Funktionen mit Schwachstellen untersucht. Mithilfe einer Go-API aus dem Paket vulncheck sollen Entwickler die Schwachstellensuche auch in externe Werkzeuge integrieren können. Zudem möchte das Go-Team eine entsprechende Erweiterung für Visual Studio Code veröffentlichen.

Im Blogbeitrag des Go-Teams können weitere Informationen nachgelesen werden.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE