Go 社區(qū)從誕生之初就積極擁抱了 GitHub，如今 GitHub 既是 Go 語(yǔ)言相關(guān)項(xiàng)目的代碼協(xié)作平臺(tái)，也是發(fā)布軟件包的地方，也正因如此 Go 編程語(yǔ)言成為了 GitHub 最受歡迎的編程語(yǔ)言之一。為了改善 Go 模塊在安全漏洞方面的發(fā)現(xiàn)、報(bào)告和預(yù)防，近日 GitHub 宣布了多項(xiàng)新功能以提升 Go 模塊的供應(yīng)鏈安全。

根據(jù) GitHub 的說(shuō)法，他們對(duì) Go 模塊在供應(yīng)鏈安全方面主要有以下四個(gè)方面的改進(jìn)：

Advisories

GitHub 的 Advisories Database 是一個(gè)開(kāi)源的漏洞信息數(shù)據(jù)庫(kù)，專注于為開(kāi)發(fā)者提供高質(zhì)量的、可操作的漏洞信息。它基于 Creative Commons Attribution 4.0 協(xié)議，所以數(shù)據(jù)可以在任何地方使用。到目前為止，該數(shù)據(jù)庫(kù)已經(jīng)發(fā)布了 150 多個(gè)相關(guān)內(nèi)容，而且隨著 GitHub 對(duì)現(xiàn)有漏洞的整理和對(duì)新發(fā)現(xiàn)漏洞的分類，這個(gè)數(shù)字將會(huì)每天得到增長(zhǎng)。

如果你是 Go 模塊的維護(hù)者，現(xiàn)在還可以使用 Security Advisories 來(lái)協(xié)調(diào)漏洞的披露。你可以與漏洞報(bào)告者(如安全研究人員)合作，在公開(kāi)漏洞詳情之前私下討論并修復(fù)漏洞。Security Advisories 還可以讓漏洞報(bào)告者為所發(fā)現(xiàn)的漏洞申請(qǐng)一個(gè) CVE ID，并將它們發(fā)布到國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD)。

依賴關(guān)系圖

GitHub 的依賴關(guān)系圖分析了倉(cāng)庫(kù)的 go.mod 文件，以了解倉(cāng)庫(kù)的依賴關(guān)系。依賴關(guān)系圖與安全公告一起，提供了提醒開(kāi)發(fā)者注意漏洞依賴關(guān)系所需的信息。

依賴關(guān)系圖對(duì)于公共倉(cāng)庫(kù)是默認(rèn)啟用的，但對(duì)于私有倉(cāng)庫(kù)來(lái)說(shuō)，你必須手動(dòng)啟用它。為了幫助防止新的漏洞被引入，開(kāi)發(fā)者可以在審查拉取請(qǐng)求時(shí)使用依賴性審查來(lái)查看對(duì)你的 go.mod 文件修改的影響。

Dependabot 警報(bào)

GitHub 還在這次更新中加入了 Dependabot，當(dāng) Go 模塊中發(fā)現(xiàn)新的漏洞時(shí)，它會(huì)向開(kāi)發(fā)者發(fā)出通知。通知設(shè)置也得到了升級(jí)，以便用戶對(duì)想收到的通知類型進(jìn)行微調(diào)。

Dependabot 安全更新

Dependabot 安全更新可以通過(guò)拉動(dòng)請(qǐng)求，自動(dòng)將有漏洞的 Go 模塊升級(jí)到?jīng)]有漏洞的版本。根據(jù) GitHub 的調(diào)查，自動(dòng)生成拉動(dòng)請(qǐng)求以更新有漏洞的依賴關(guān)系的軟件庫(kù)比不生成拉動(dòng)請(qǐng)求的軟件庫(kù)快40%。

Google Go 語(yǔ)言產(chǎn)品負(fù)責(zé)人 Steve Francia 表示：“GitHub 是最受歡迎的開(kāi)源 Go 模塊托管平臺(tái)。宣布的新功能不僅可以幫助 GitHub 用戶，還可以幫助任何依賴 GitHub 托管模塊的開(kāi)發(fā)者。我們很高興 GitHub 在這方面進(jìn)行的投資，使整個(gè)生態(tài)系統(tǒng)受益，我們期待著在未來(lái)與他們進(jìn)行更多的合作。“

Go 模塊于 2019 年推出，旨在改善依賴性管理。根據(jù) Go Developer Survey 在 2020 年的調(diào)查顯示，有 76% 的受訪者都將 Go 以某種形式在企業(yè)中應(yīng)用。此外，Go 模塊的采用如今也在持續(xù)增加，96% 的受訪者表示這些模塊被用于進(jìn)行軟件包管理 —— 而 2019 年則僅有 87% 的受訪者將 Go 模塊用于這些目的。

調(diào)查呈現(xiàn)出來(lái)的一個(gè)總體趨勢(shì)似乎表明，其他軟件包管理工具的使用正在不斷減少。而對(duì) Go 模塊的改善也將提升行業(yè)整體安全性。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：鑒于 Go 語(yǔ)言的熱門(mén)程度，GitHub 提高了 Go 模塊的供應(yīng)鏈安全性

本文地址：https://www.oschina.net/news/152491/github-boosts-security-for-go-modules