govulncheck

#go #security

หลายๆคนคงจะรู้อยู่แล้วว่า Go ได้นำเสนอตัว Go Vulnerability Check ออกมาเมื่อเดือน September 2022 แล้วก็คงมีคนได้ลองบ้างแล้ว วันนี้ก็เลยอยากจะเอาประเด็นน่าสนใจมาเล่าต่อเล็กน้อย เนื่องจากพอได้ลองใช้งานแล้วเห็น report ของมัน หน้าตาประมาณนี้

ซึ่งโดยปกติมันจะ scan ตัว code และ dependencies ของเราไปเทียบกับ database ที่ทางทีม Go Security Team ดูแลอยู่ แล้วมันจะบอกเราว่าให้ upgrade lib ที่มีปัญหาไปใช้ version ไหนดี

ตรงจุดนี้ เหมือนมาย้ำเตือนเราว่า อย่านิ่งนอนใจ อย่าปล่อยให้ Go version มันเก่า เพราะไม่ใช่ว่ามัน works แล้วจะปลอดภัย เพราะคุณกำลังอยู่กับช่องโหว่ที่เขาเจอกันมาตลอดทุกคืนที่คุณดองมันไว้

ถึงอย่างไรก็ดี เจ้า tools ตัวนี้มันยังไม่สมบูรณ์นะครับ ยังอยู่ในช่วงทดสอบ และพัฒนา แต่ก็สามารถใช้งานได้บ้าง เพราะฉะนั้น ยังควรใช้ tools ที่เราใช้กันอยู่เดิมร่วมด้วยไปก่อนเช่น gosec เป็นต้น

ข้อที่ยังไม่สมบูรณ์เท่าที่อ่านมาก็เช่น

scan ได้เฉพาะ go 1.18 ขึ้นไป
ถ้า upgrade go version ไปแล้ว มันจะไม่ย้อนไปเช็ค version ของ dependencies ที่อยู่ใน version ก่อนนี้ให้เช่น ถ้าเราไปใช้ 1.19 แล้ว แต่ lib เราเขียนด้วย 1.18 มันจะไม่เช็คให้ (ไม่แน่ใจว่าแก้ไขหรือยัง)

หวังว่าจะเป็นประโยชน์ครับ

This site is built on Heroku

Join the ranks of developers at Salesforce, Airbase, DEV, and more who deploy their mission critical applications on Heroku. Sign up today and launch your first app!

Get Started