繼日前宣布完成 2000 萬美元的 A 輪融資后，開源代碼掃描工具 Socket 緊接著宣布新增了對 Go 語言的支持；此前其僅支持 JavaScript 和 Python 語言。H3s28資訊網——每日最新資訊28at.com

“在過去的幾個月中，我們觀察到針對 Golang 的供應鏈攻擊有所增加。意識到這種迫在眉睫的威脅后，我們知道是時候將 Socket 已經驗證的主動式防護引入 Go 了?！?span style="display:none">H3s28資訊網——每日最新資訊28at.com

Socket 方面還介紹了在添加 Go 支持過程中所面臨的挑戰：H3s28資訊網——每日最新資訊28at.com

• 自定義依賴關系管理：與具有集中式存儲庫的 npm 或 pip 不同，Go 的 decentralized 方法及其基于 VCS 的依賴項獲取可能更難監控。使用 GOPROXY 協議作為 crutch 的工具將錯過發布到版本控制系統的最新版本，而這些正是最有可能發起供應鏈攻擊的軟件包。
• No lockfile：go.sum文件不是 lockfile，而是 Go 抵御 VCS 存儲庫和模塊代理中被劫持的版本標記的最后一道防線。雖然它是保持 Go 生態系統安全的重要組成部分，但僅靠它無法防止 Go 模塊中的危險代碼。
• 動態版本控制：Go 模塊的偽版本提供了未標記的 commit-based 版本控制，為跟蹤依賴項增加了另一層復雜性。
• 傳遞依賴關系：監視間接依賴項需要深入了解go.mod 文件和最小版本選擇。安全工具需要了解 Go 模塊解析方案中的潛在漏洞以及通過傳遞依賴引入的危險。正如在 npm 生態系統中看到的那樣，當安全工具無法正確解析使用的依賴項時，通常會出現混亂和安全漏洞。

目前其已面向所有客戶提供了 "early access" 階段的測試特性和功能。主要特點包括：H3s28資訊網——每日最新資訊28at.com

• 全面分析 go.mod 文件，并根據 go.sum 校驗和進行驗證
• 支持檢測任何給定項目或包的整個依賴項生成列表中的已知漏洞
• 監控直接和間接依賴關系
• 模塊替換和排除的兼容性檢查
• 包資源管理器和 Socket 網站搜索
• 在 Socket reports 中列出 Go issues

在接下來的幾周內，預計還將推出與 Socket for GitHub 和 Socket for VSCode 集成、增強 Go 模塊支持、改進 AI 驅動的 Go 問題檢測和零日漏洞監控等內容。H3s28資訊網——每日最新資訊28at.com

值得一提的是，除了新增對 Go 生態系統的支持外。Socket 還宣布了一個用于在下載前檢查開源包是否安全的瀏覽器擴展，目前可用于 Chrome、Edge、Brave 和任何其他基于 Chromium 的瀏覽器以及 Firefox；并推出了一個付費增值功能，可以深入研究整個組織的代碼庫，以便隨時查找任何依賴項。H3s28資訊網——每日最新資訊28at.com

本文鏈接：http://www.tebozhan.com/showinfo-26-5185-0.html開源代碼掃描工具 Socket 添加 Go 語言支持

聲明：本網頁內容旨在傳播知識，若有侵權等問題請及時與本網聯系，我們將在第一時間刪除處理。郵件：2376512515@qq.com

上一篇： 再見pip & conda！管理Python依賴關系的更好的選擇：Poetry

下一篇： GET和POST的區別—Java模擬Postman發Post請求